近来爆红的视频会议软件 Zoom,因安全设计不佳,继日前有350笔用户帐号被公布到暗网上,又有安全研究人员发现有人在黑客论坛中,发布了超过 53 万笔 Zoom 用户帐密,同时还有人询问要如何发动攻击。
由于 Zoom 的信息安全设计不良,加上使用者欠缺安全意识,像是忽略以密码或 pincode 防护在线会议,或是英国首相约翰逊(Boris Johnson)的 meeting ID 随截图公开等,Zoom 用户暴增后,也成为黑客下手的新目标。
安全厂商 Cyble 向 BleepingComputer 透露,该公司在本月初发现有人在黑客论坛上,公布 Zoom 用户个人信息,先是以文字发布了数百笔用户电子邮件和密码,以便在这个论坛上打出名气,免费泄露的数据包含如科罗拉多、佛罗里达州大学等用户帐号。
之后信息安全公司出价购买,最后以每个帐号 0.002 美元的价格买到 53 万笔用户个人信息数据,包括电子邮件、密码、Meeting URL 及主持人密钥等。其中不乏知名金融公司如摩根大通、花旗银行及学校等机构用户。
经过求证,有些帐密仍然有效,有些则已是过时数据,后者显示可能来自之前的帐号填充(credential attack)攻击。
同期又有另一家以色列安全厂商 IntSights 研究人员,在研究深网(deep web)及暗网(dark web)论坛时,发现有人分享一个数据库,包含 2,300 多笔 Zoom 用户帐号的使用者名称及密码。
深究这个数据库,这些帐号显示其他用户身份,像是用户所属的单位如银行、顾问公司、医疗机构、软件公司或教育机构等。外泄数据包括电子邮件和密码,有的更包括 meeting ID、姓名及会议主持人密码。
IntSights 安全负责人 Etay Maor 指出,攻击者利用 Google 或 LinkedIn 即可识别出 Zoom 帐号主人,然后就能以这些信息冒充用户,进行商业电子邮件诈骗(Business Email Compromise,BEC)攻击,要求被害者的同事来转账,或是分享重要的档案或信息。
这两起事件是否相关,或由不同人士所为,则不得而知。
研究人员还指出,地下论坛这篇 Zoom 用户资料贴文的后续响应,也值得关注。例如有人问到如何切入他人的 Zoom 会议,这就是之前 FBI 警告乱入 Zoom 会议的行为,名为 Zoom Bombing。此外还有人特别问了 Zoom 查核(Zoom checker),及帐号填充(credential stuffing)等攻击手法。Zoom 查核是利用偷来的信用卡小额捐款测试该卡是否还能用,如果可行,就会用这张卡进行诈欺交易。论坛中甚至有人建议可以 OpenBullet,这是一种针对 Web App 的开源渗透测试工具,但也可作为帐号填充及 DDoS 攻击,之前也被拿来攻击智能门铃 Ring 的用户。
所有企业都可能被黑客以帐号填充攻击,也就是拿现有电子邮件和密码到每个网站去测试,因此安全厂商呼吁用户必须确认自己在每个网站的帐密,都不可以重复用于其他服务帐号。使用者也可以到 Have I BeenPwned 数据外泄通知服务,输入自己的电子邮件测试是否曾经外泄。
上周,以色列当地的安全公司 Sixgill 也向媒体透露,有黑客将盗来的 352 个 Zoom 帐号公布于暗网。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
