「网络新闻」(Cybernews)组织研究员12日表示,一个拥有将近100亿组密码的档案4日被黑客贴到网站,为历来规模最大的密码外泄事件,被冠上「2024摇撼你们」(RockYou2024)的名称,经交叉比对发现,那些粘贴网的密码并不全是新的,但涵盖面由网络摄影机到产业硬件,不管它们上线、下线,无所不包。
包括20年逾4000数据库数据 入侵风险飙升
「今日美国报」(USA Today)报导,网络新闻的专家们发现,国庆日粘贴黑客网站的档案有99亿4857万5739组全是纯文本的密码档,规模之大为史上之最;该组织相信,黑客可以用这批密码,暴力攻击任何不设防的电脑系统。
网络新闻组织称,一个名为「欧记健保」(ObamaCare)的用户把这么庞大的密码,包裹在一个档案内上传,但密码并不全是最新的。该组织使用自己的「遭泄密码比对器」(Leaked Password Checker)交叉比对「2024摇撼你们」里的密码,发现这些密码是由新、旧黑客入侵事件,所取得的密码混合而成;为期20年,由4000多个数据库里搜集而得。
「凭证填充」攻击手法 伤害很大
网络新闻组织表示,RockYou2024本质上是把全球真实世界里,用户个别使用的密码集纂起来;公布那么多密码给「威胁行为人」(threat actor),大幅升高「凭证填充」(Credential stuffing)攻击的风险。凭证填充指的是黑客取用一次数据泄露而取得的资讯如密码,试着登录上其他网站,对公司行号及消费者伤害可以很大。
网络新闻组织指出,黑客锁定且攻击「票务大师」(Ticketmaster)等几个网站,使用的手法就是凭证填充。
三年前,称为「2021震撼你们」(RockYou2021)贴出84亿组密码在黑客网站上,是当时规模最大的密码外泄。网络新闻组织表示,公司研究员判定,2024版本相形2021年,增加了15亿组新密码。
退休联邦调查局(FBI)干员、网络犯罪预防专家奥根鲍姆(Scott Augenbaum)表示,这100亿组密码被释出,是把以往多次黑客攻击所取得的数据倒出来,并不是新的,但那么多密码收在单一档案,粘贴网络,仍是大事。
保护上网安全 勿多帐户用同组密码
奥根鲍姆指出,这起事件给大家的教训乃是提醒:无论你保护自己上网安全做得多好,有人还是会丢出你的用户名称及密码。此间的危险在于:很多人使用一组相同密码且用在许多平台上,一旦密码被破解,黑客就可以入侵多个帐户。
奥根鲍姆表示,每个帐户都该使用不同的密码,这件事很重要。