【重用密碼】Levi’s網站遭憑證填充攻擊 逾7萬客戶私隱包括信用卡資料外洩
美國著名牛仔褲製造商 Levi’s 成為網絡攻擊的受害者,上星期公司向各州檢察長提交安全事故報告,承認於本月 13 日遭受黑客的憑證填充攻擊,導致超過 72,231 位顧客的私隱資料外洩。不過,官方未有回應會否向受害客戶提供身份監察服務,似乎罔顧了客戶的安全風險。
憑證填充攻擊(Credential Stuffing)的原理是黑客從暗網等地方購買一些外洩事故中的公司帳戶登入資料,利用受害人重複使用相同密碼的習慣,黑客會使用這些被盜取的帳號密碼組合,大規模嘗試登錄同一公司的其他帳戶。為了提升效率,黑客更會操控殭屍網絡(Botnet)大軍實現自動化攻擊。由於入侵難度及所需技術較低,因而廣受黑客歡迎。
根據 Levi’s 提交的報告顯示,黑客便是利用這種方式入侵公司帳戶,並獲取了包括客戶姓名、電郵地址、送貨地址和訂單記錄等私隱資料,而如果客戶在購買時選擇保存支付的信用卡資料,信用卡後四位數字、卡種和有效日期亦有機會被竊取。
雖然官方指目前未有證據顯示這批資料已被濫用,但公司已即時採取措施回應,例如通知受影響客戶須重置密碼,又建議客戶應即時重設其他採用了相同密碼的網上帳戶,以保障不會被黑客使用相同手法入侵。有傳媒向 Levi’s 查詢除了以上補救措施,是否會向受影響客戶提供身份監察服務,不過官方就未有正面回應。
相信不少人都曾聽過身份監察服務(Iidentity Monitoring Service),而事實上大部分人亦正在享用同類型服務而不自知,當中 Google、Microsoft 瀏覽器的密碼外洩檢查功能便是其中一個例子。原理是 Google 與 Microsoft 會將用家記錄在瀏覽器內的帳戶登入資料,與由 haveibeenpwned 等外洩資料檢查網站公開的資料進行比對,如發現用家的電郵、密碼出現在數據庫中便會發出警告,提醒用家要為受影響帳戶更改密碼以防被黑客入侵。
不過,收費的專業身份監察服務會從更多來源收集資料,當中包括暗網、地下討論區,以及勒索軟件集團用來要脅受害企業的網站,讓訂閱服務的客戶能第一時間知道個人私隱資料有否被濫用或正於暗網出售。去年 8 月數碼港遭受黑客入侵事件,官方宣佈會向可能受影響人士免費提供由專業保安顧問負責的身份監察服務,可算是負責任的表現。
資料來源:https://cybersecuritynews.com/levis-data-breach-72000-customers-data-exposed/
想 全 面 提 升 員 工 網 絡 安 全 意 識?
