駭客網站驚曝近百億組密碼 歷來最大規模外洩
「網路新聞」(Cybernews)組織研究員12日表示,一個擁有將近100億組密碼的檔案4日被駭客貼到網站,為歷來規模最大的密碼外洩事件,被冠上「2024搖撼你們」(RockYou2024)的名稱,經交叉比對發現,那些貼上網的密碼並不全是新的,但涵蓋面由網路攝影機到產業硬體,不管它們上線、下線,無所不包。
包括20年逾4000資料庫數據 入侵風險飆升
「今日美國報」(USA Today)報導,網路新聞的專家們發現,國慶日貼上駭客網站的檔案有99億4857萬5739組全是純文字的密碼檔,規模之大為史上之最;該組織相信,駭客可以用這批密碼,暴力攻擊任何不設防的電腦系統。
網路新聞組織稱,一個名為「歐記健保」(ObamaCare)的用戶把這麼龐大的密碼,包裹在一個檔案內上傳,但密碼並不全是最新的。該組織使用自己的「遭洩密碼比對器」(Leaked Password Checker)交叉比對「2024搖撼你們」裡的密碼,發現這些密碼是由新、舊駭客入侵事件,所取得的密碼混合而成;為期20年,由4000多個資料庫裡搜集而得。
「憑證填充」攻擊手法 傷害很大
網路新聞組織表示,RockYou2024本質上是把全球真實世界裡,用戶個別使用的密碼集纂起來;公布那麼多密碼給「威脅行為人」(threat actor),大幅升高「憑證填充」(Credential stuffing)攻擊的風險。憑證填充指的是駭客取用一次數據洩露而取得的資訊如密碼,試著登錄上其他網站,對公司行號及消費者傷害可以很大。
網路新聞組織指出,駭客鎖定且攻擊「票務大師」(Ticketmaster)等幾個網站,使用的手法就是憑證填充。
三年前,稱為「2021震撼你們」(RockYou2021)貼出84億組密碼在駭客網站上,是當時規模最大的密碼外洩。網路新聞組織表示,公司研究員判定,2024版本相形2021年,增加了15億組新密碼。
退休聯邦調查局(FBI)幹員、網路犯罪預防專家奧根鮑姆(Scott Augenbaum)表示,這100億組密碼被釋出,是把以往多次駭客攻擊所取得的數據倒出來,並不是新的,但那麼多密碼收在單一檔案,貼上網路,仍是大事。
保護上網安全 勿多帳戶用同組密碼
奧根鮑姆指出,這起事件給大家的教訓乃是提醒:無論你保護自己上網安全做得多好,有人還是會丟出你的用戶名稱及密碼。此間的危險在於:很多人使用一組相同密碼且用在許多平台上,一旦密碼被破解,駭客就可以入侵多個帳戶。
奧根鮑姆表示,每個帳戶都該使用不同的密碼,這件事很重要。
留言