視訊軟體 Zoom 因使用簡便,在疫情時間受到各國企業及遠距工作者歡迎,不但隱私設定引發資訊安全疑問,更傳出消息53萬個Zoom帳號被出售到無人可管的「暗網」上,任人取用,再次引爆資安問題。
53 萬 Zoom 帳號暗網買得到,一個只值 0.06 元
資安公司 Cyble 在 13 日通知資安媒體 BleepingComputer,表示從四月一號起,在暗網上偵測到超過50萬個免費Zoom帳號,若有心人士想要購買,每個帳號平均 0.002 美元(約台幣 $ 0.06),有些甚至免費提供。
Zoom 先前已被爆出資安設計出現漏洞,加上使用者忽略修改密碼,政府跟民間都深受其害。連英國首相強生(Boris Johnson)的會議室鑰匙都能被截圖公開。
花旗、摩根大通銀行的 Zoom 帳號也受到「憑證填充」攻擊
資安廠商 Cyble 分析,不同於上次,這次的帳號外洩是被一種叫做「憑證填充」(credential attack)的方式攻擊。包含部分甚至是在稍早前洩漏出來的資訊中,被不法人士記錄下來、上網轉賣的帳號。
目前公開的受害的企業用戶包含花旗銀行、摩根大通銀行,以及部分學校如科羅拉多大學、佛羅里達大學、達特茅斯大學。如果要避開這類攻擊,最好的方式就是為 Zoom 帳號使用唯一一組密碼,並修改其他共用密碼的平台。
外媒一致緊急呼籲使用者更改成「唯一」密碼
先前廣泛討論的惡意竊取方式稱作「Zoombombing」,包含竊取一般用戶使用 Zoom 之前會留下的電子信箱、密碼、會議金鑰。然而這次 Cyble 發現的「憑證填充」(credential attack)方式則是透過將使用者其他平台使用的密碼,重複套用在 Zoom 帳號中。
Zoom 公司發言人在事件公開後出面回應,表示目前正在調查更多惡意攻擊網站或公司,包含雇用情報公司查找誘騙用戶下載病毒的網站、或主打幫助用戶創建密碼的釣魚網站。由於此次攻擊建立在用戶重複使用同一組密碼上,因此各界皆緊急呼籲用戶改用「唯一」密碼,最好能所有平台的密碼都換成不重複密碼。
參考資料來源
1. 《The Bleeping Company》:Over 500,000 Zoom accounts sold on hacker forums, the dark web
2. 《The Fast Company》:Half a million Zoom logins are available on the dark web for less than
3. 《Business Insider》:Zoom: Add a farm animal to your corporate video call for under $100 – Business Insider
(本文提供合作夥伴轉載。)
你可能有興趣
◊ 【線上開個會還要被偷聽?】Zoom 說不清的中國背景,讓用戶擔憂資安
◊ Zoom 遭禁引發網友 3 種回覆:罵資安、罵中國、罵老師
◊ 【本年度燙金職業出爐】全世界都想招聘「資安工程師」,履歷投起來吧!
