近來爆紅的視頻會議軟件 Zoom,因安全設計不佳,繼日前有350筆用戶帳號被公佈到暗網上,又有安全研究人員發現有人在黑客論壇中,發佈了超過 53 萬筆 Zoom 用戶帳密,同時還有人詢問要如何發動攻擊。
由於 Zoom 的信息安全設計不良,加上使用者欠缺安全意識,像是忽略以密碼或 pincode 防護在線會議,或是英國首相約翰遜(Boris Johnson)的 meeting ID 隨截圖公開等,Zoom 用戶暴增後,也成為黑客下手的新目標。
安全廠商 Cyble 向 BleepingComputer 透露,該公司在本月初發現有人在黑客論壇上,公佈 Zoom 用戶個人信息,先是以文字發佈了數百筆用戶電子郵件和密碼,以便在這個論壇上打出名氣,免費洩露的數據包含如科羅拉多、佛羅里達州大學等用戶帳號。
之後信息安全公司出價購買,最後以每個帳號 0.002 美元的價格買到 53 萬筆用戶個人信息數據,包括電子郵件、密碼、Meeting URL 及主持人密鑰等。其中不乏知名金融公司如摩根大通、花旗銀行及學校等機構用戶。
經過求證,有些帳密仍然有效,有些則已是過時數據,後者顯示可能來自之前的帳號填充(credential attack)攻擊。
同期又有另一家以色列安全廠商 IntSights 研究人員,在研究深網(deep web)及暗網(dark web)論壇時,發現有人分享一個數據庫,包含 2,300 多筆 Zoom 用戶帳號的使用者名稱及密碼。
深究這個數據庫,這些帳號顯示其他用戶身份,像是用戶所屬的單位如銀行、顧問公司、醫療機構、軟件公司或教育機構等。外洩數據包括電子郵件和密碼,有的更包括 meeting ID、姓名及會議主持人密碼。
IntSights 安全負責人 Etay Maor 指出,攻擊者利用 Google 或 LinkedIn 即可識別出 Zoom 帳號主人,然後就能以這些信息冒充用戶,進行商業電子郵件詐騙(Business Email Compromise,BEC)攻擊,要求被害者的同事來轉賬,或是分享重要的檔案或信息。
這兩起事件是否相關,或由不同人士所為,則不得而知。
研究人員還指出,地下論壇這篇 Zoom 用戶資料貼文的後續響應,也值得關注。例如有人問到如何切入他人的 Zoom 會議,這就是之前 FBI 警告亂入 Zoom 會議的行為,名為 Zoom Bombing。此外還有人特別問了 Zoom 查核(Zoom checker),及帳號填充(credential stuffing)等攻擊手法。Zoom 查核是利用偷來的信用卡小額捐款測試該卡是否還能用,如果可行,就會用這張卡進行詐欺交易。論壇中甚至有人建議可以 OpenBullet,這是一種針對 Web App 的開源滲透測試工具,但也可作為帳號填充及 DDoS 攻擊,之前也被拿來攻擊智能門鈴 Ring 的用戶。
所有企業都可能被黑客以帳號填充攻擊,也就是拿現有電子郵件和密碼到每個網站去測試,因此安全廠商呼籲用戶必須確認自己在每個網站的帳密,都不可以重複用於其他服務帳號。使用者也可以到 Have I BeenPwned 數據外洩通知服務,輸入自己的電子郵件測試是否曾經外洩。
上週,以色列當地的安全公司 Sixgill 也向媒體透露,有黑客將盜來的 352 個 Zoom 帳號公佈於暗網。
編輯:AI智慧
