Zoom 资安问题接连不断,继上週有一批帐号密码在暗网开卖后,本週资安研究团队又发现 50 万组 Zoom 帐密几乎免费赠送,《》伙伴也收到骇客寄来的威胁信,标题就是他在 Zoom 使用的密码,骇客勒索金额更高达 2,000 美元。
Zoom 资安问题连环爆,网路风险管理团队 Cyble 在暗网发现,一位骇客以近乎免费的价格兜售从 Zoom 盗取的使用者帐号与密码,数量高达 53 万组。Cyble 取得这些帐密后发现,有部分帐户来自他们的客户,经查证后确认是正在使用的有效帐户。
这些资料包括使用者 ID、帐号密码、个人 URL 连结和会议主持密码,根据他们查证后发现,不只一位受害者外流的密码正确,且都是很久没有动过的老密码。
虽然很多人都是Cv新冠疫情爆发后才注册 Zoom,但许多人注册时都是用旧密码,可能重複使用于别的服务,这让个人资讯安全暴露于极大风险下。
同仁今天也收到骇客寄来的威胁信,以下是信件全文:
▲ 骇客威胁信全文,黄色涂改处就是 Zoom 使用的个人密码。
信件标题就是他的 Zoom 密码,幸好伙伴的资讯安全观念正确,使用一组全新密码,否则很可能会有更多个人服务被骇客攻击。骇客要求受害者以比特币支付 2,000 美元赎金,如果 24 小时内没有收到赎金,就会将「私密影片」公布至被害者的社交网路。
这次威胁再次提醒我们资讯安全基本知识的重要,时常更换密码,也不要重複使用密码,更不要用任何形式在网路传送密码。当然这对脑袋负荷有点大,也可以尝试使用一些密码管理工具帮忙。
如果注册 Zoom 时,使用的是曾用在别处的旧密码,请立即弃用这组密码,目前较知名的密码管理服务包括 1Password、DashLane 和 LastPass,都可以帮上忙。个人隐私度较高的服务,像是 Facebook、Google 帐号也请开启双重验证,确保不同装置登入时都需要验证。
- 500,000 Hacked Zoom Accounts Given Away For Free On The Dark Web
