焦點
駭客暗網已售出超過50萬組Zoom雲端會議服務的帳號,只賣1美分,有些還免費贈送!趕快更改密碼!
文.圖/Johan 2020-04-14 10:30:00
Zoom是一家位於美國加州聖荷西的科技公司,主要業務是提供雲端為主的視訊會議(Cloud Meeting)系統服務。不過前陣子被爆出有資安疑慮之後,不僅Google下令不准使用Zoom之外,就連我們行政院也下令各公務機關與各級學校都要禁用Zoom了!
有人問,有那麼嚴重嗎?確實啊!因為在某些暗網與駭客論壇裡面,就有人在兜售Zoom的帳號了!資安公司發現裡面有不少是摩根大通、花旗銀行,或是一些大學的帳號,您說不嚴重嗎?
由於有些Zoom帳號是免費提供給駭客論壇,讓其他駭客可以使用Zoom-bombing (未受邀請的陌生人突然加入線上會議且大叫,以干擾會議)的惡作劇,或是其他惡意行為,擾亂既有的會議進行。要是會議是屬於NDA類型或是比較機密的會議,那麼就有機敏資料外洩的可能!
資安公司表示,這些免費的Zoom帳戶大約是在2020年4月1日起在駭客論壇上看到的,由於有這些好料!因此也讓這些駭客論壇越來越受矚目!流量開始爆增!除了上述的帳號是免費供應的之外,其他有些帳號則是以不到一美分的價格售出!
由於這些帳戶都是透過文字的方式來分享出去的!那些洩漏帳號者就大喇喇的直接在論壇裡面貼上一堆登入帳號(Email)和密碼。下圖中,就有超過290組帳號是免費提供的,主要都是學院的帳號。如佛蒙特大學、科羅拉多大學、達特茅斯學院、拉斐特大學、佛羅里達大學…等等。這些密碼中,有些是正確的,而有些則是舊密碼,表示當初就是用憑證填充攻擊的方式獲得! (不過如今應該有不少單位已經更改密碼了,因此這些帳戶可能無法再登入)
由於Cyble買下來的Zoom帳戶中,有些也是他們的客戶,他們也確認了這些帳戶有些是有用的,他們也透過聯絡這些客戶趕緊去更改密碼。
另外,Cyble也將這次的資安事件,加入其Am I Breached的網站,使用者可以透過輸入自己的Email,來檢查自己的帳戶是否被流出去濫用!
大家可以到Am I Breached網站,輸入自己的Email,來了解自己的Email是否資安疑慮!
有人問,有那麼嚴重嗎?確實啊!因為在某些暗網與駭客論壇裡面,就有人在兜售Zoom的帳號了!資安公司發現裡面有不少是摩根大通、花旗銀行,或是一些大學的帳號,您說不嚴重嗎?
暗網便宜賣,甚至免費送
由於暗網與駭客論壇裡面有超過50萬組Zoom帳號被售出,賣價低於一美分(不用新台幣1元)售出,甚至某些情況還免費大相送。這些帳號是透過憑證填充攻擊(credential stuffing attack)的方式取得,也就是以錯誤嘗試登入的方式瞎猜出密碼,在早期Zoom的登入機制還不是很完善時,駭客就是透過這樣的方式成功登入之後,將這些成功的帳號整理成表,再兜售給其他駭客!由於有些Zoom帳號是免費提供給駭客論壇,讓其他駭客可以使用Zoom-bombing (未受邀請的陌生人突然加入線上會議且大叫,以干擾會議)的惡作劇,或是其他惡意行為,擾亂既有的會議進行。要是會議是屬於NDA類型或是比較機密的會議,那麼就有機敏資料外洩的可能!
資安公司表示,這些免費的Zoom帳戶大約是在2020年4月1日起在駭客論壇上看到的,由於有這些好料!因此也讓這些駭客論壇越來越受矚目!流量開始爆增!除了上述的帳號是免費供應的之外,其他有些帳號則是以不到一美分的價格售出!
由於這些帳戶都是透過文字的方式來分享出去的!那些洩漏帳號者就大喇喇的直接在論壇裡面貼上一堆登入帳號(Email)和密碼。下圖中,就有超過290組帳號是免費提供的,主要都是學院的帳號。如佛蒙特大學、科羅拉多大學、達特茅斯學院、拉斐特大學、佛羅里達大學…等等。這些密碼中,有些是正確的,而有些則是舊密碼,表示當初就是用憑證填充攻擊的方式獲得! (不過如今應該有不少單位已經更改密碼了,因此這些帳戶可能無法再登入)
資安公司趕快買下,以警告這些用戶趕快改密碼
由於駭客論壇大量拋售這些Zoom帳號,資安公司Cyble一口氣買下大量的帳戶,以便可以用來警告這些用戶們趕快去更改密碼。該公司以一美分買下53萬組帳號,平均一個帳號不到0.0020美元。這些被售出的帳戶,包括受害者的Email、密碼、個人會議URL以及HostKey (主持人鑰匙)。由於Cyble買下來的Zoom帳戶中,有些也是他們的客戶,他們也確認了這些帳戶有些是有用的,他們也透過聯絡這些客戶趕緊去更改密碼。
趕快更改密碼吧!
由於所有公司都受到這種憑證填充攻擊的影響,且Zoom的密碼可以從電腦、平板或手機登入,因此建議趕快更改密碼,至於個人會議ID必須付費才能更改!要是若怕陌生人突然衝進會議來搗亂的話,可以設定要求輸入會議密碼,才准許進入。此外也可以並預設關閉電腦音訊,或是關閉電話登入,以免收到參與者的雜音。另外,Cyble也將這次的資安事件,加入其Am I Breached的網站,使用者可以透過輸入自己的Email,來檢查自己的帳戶是否被流出去濫用!
![](/assets/lib/jquery_lazyload/img/transparent.gif)
- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 小米首支小折 Xiaomi MIX Flip 首發「徠」台 以旗艦鏡頭與性能 挑戰小折王者稱號
- 8顆JBL喇叭 ∞聲動! Lenovo Tab Plus革命性平板全新上市 打造移動音樂廳
- LG 公布2024年第二季度財報 透過核心與未來事業的平衡發展與成長 公司創下第二季度營收及獲利新紀錄
- 十銓科技推出T-FORCE GC PRO PCIe 5.0 固態硬碟 Gen5 優異性能 滿足儲存高效需求
- 台灣資通訊產業為全球百工百業建構AI數位轉型供應鏈 台灣要利用生成式AI掌握轉型契機與下一波成長曲線
- 歡慶父親節!凱擘大寬頻1G飆網限時優惠 爸氣現省破萬元再抽momo幣
- 網石大型MMORPG《阿斯達年代記:三強爭霸》 將開放玩家轉移伺服器
- 「Seagate粉絲同樂會 第1彈活動 – 歡慶手機容量救星 Seagate One Touch SSD 固態硬碟 神兵利器,Type-C 傳輸一切都迎刃而解,分享影片抽大獎!」活動說明!
- 華擎PHANTOM GAMING Z790I Lightning WiFi實測開箱,史上最強DDR5-8600+迷你電腦超頻主機板!
- 喬思伯 Jonsbo「TF2-360 裸排」感謝熱賣,「TF2-360BI/WI 預鎖 全幅式無限鏡ZK120魔組扇套組」在台上市!
- 《波拉西亞戰記》開服滿月力推「以太防禦戰」,召集全服玩家海撈珍稀獎勵! 追加開放第三波駐紮地、新增Lv.7黑劍及黑劍Boss「星雲君主」,難度再攀!
- 精強科技Venus系列充電樁,受邀參與2024年iF設計獎獲獎作品展
最多人點閱
- GIGABYTE GeForce GTX 1070 Xtreme Gaming實測開箱,電競級顯示卡中的頂尖之作!
- Seagate IRONWOLF 10TB機械硬碟實測開箱,氦氣填充那嘶狼守護者NAS HDD
- AMD Radeon RX 480實測開箱,玩家級顯示卡重返榮耀!
- PLEXTOR S2C 512GB實測開箱,超值型固態硬碟中的優質好貨!
- 洋垃圾神器,Xeon E5-2670實測開箱大作戰!
- MSI CORE FROZR L CPU散熱器實測開箱,微星電競產品再添新兵
- MSI GeForce GTX 1060 GAMING X 6G實測開箱,玩家級電競顯示卡中的神兵利器!
- ASUS ROG STRIX-GTX1080-O8G-GAMING開箱實測,旗艦三風扇電競顯示卡中的頂尖之作!
- MSI GeForce GTX 1080 GAMING X 8G實測開箱,史上最強大Pascal自製顯示卡全面來襲!
- 淘寶網洋垃圾再顯神威,1999元買到8核心16執行緒Xeon E5-2670神器級處理器!
- 雅婷3C好康多.玩家收藏.窮人聖物.改裝精品.頂級配備.新奇電腦零組件潮店讓您便宜買好貨!
- MSI GeForce GTX 1050 Ti GAMING X 4G實測開箱,中階電競顯示卡中的玩家精品!
![](/assets/images/spacer.gif)