網路新聞(Cybernews)組織研究員於週五(7月12日)表示,一個擁有將近100億組密碼的檔案於本月4日被駭客貼到網站,這是歷來規模最大的密碼外洩事件,被冠上「2024搖撼你們」(RockYou2024)的名稱。經過交叉比對發現,這些密碼並不全是新的,但涵蓋範圍極廣,從網路攝影機到產業硬體,無所不包。
根據《今日美國報》(USA Today)報導,網路新聞的專家們發現,國慶日貼上駭客網站的檔案包含99億4857萬5739組全是純文字的密碼檔,規模之大為史上之最。該組織相信,駭客可以用這批密碼,對任何不設防的電腦系統發動暴力攻擊。
網路新聞組織稱,一個名為「歐記健保」(ObamaCare)的用戶將這麼龐大的密碼包裹在一個檔案內上傳,但密碼並不全是最新的。該組織使用自己的「遭洩密碼比對器」(Leaked Password Checker)交叉比對「2024搖撼你們」中的密碼,發現這些密碼是由新、舊駭客入侵事件所取得的密碼混合而成,涵蓋過去20年內從4000多個資料庫裡搜集而得。
網路新聞組織表示,「RockYou2024」本質上是把全球真實世界裡用戶個別使用的密碼集纂起來,公布這麼多密碼給「威脅行為人」(threat actor),大幅升高了「憑證填充」(Credential stuffing)攻擊的風險。憑證填充指的是駭客利用一次數據洩露而取得的資訊如密碼,試圖登錄其他網站,對公司行號及消費者造成巨大傷害。
該組織指出,駭客鎖定且攻擊「票務大師」(Ticketmaster)等幾個網站,使用的手法就是憑證填充。三年前,稱為「2021震撼你們」(RockYou2021)的事件曾貼出84億組密碼在駭客網站上,當時是規模最大的密碼外洩。此次2024版本相較2021年,增加了15億組新密碼。
退休聯邦調查局(FBI)幹員、網路犯罪預防專家奧根鮑姆(Scott Augenbaum)表示,這100億組密碼被釋出,是把以往多次駭客攻擊所取得的數據整合在一起,並不是全新的,但這麼多密碼收在單一檔案並貼上網路,仍然是一件大事。
奧根鮑姆指出,這起事件提醒大家,無論你保護上網安全做得多好,有人還是會丟出你的用戶名稱及密碼。危險在於,很多人使用相同的密碼在多個平台上,一旦密碼被破解,駭客就可以入侵多個帳戶。因此,每個帳戶都應該使用不同的密碼,這非常重要。
