背景圖片來源:Photo by NeONBRAND on https://unsplash.com/photos/FoiZoPtxSyA

近來爆紅的Zoom資安設計不佳,繼日前有350筆用戶帳號被公布到暗網上,又有安全研究人員發現有人在駭客論壇上,張貼超過53萬筆Zoom用戶帳密,同時還有人詢問要如何發動攻擊。

由於Zoom的資安設計不良,加上使用者欠缺安全意識,像是忽略以密碼或pincode防護線上會議,或是英國首相強生(Boris Johnson)的meeting ID隨截圖公開等,Zoom用戶暴增後,也成為駭客下手的新目標。

安全廠商Cyble向BleepingComputer透露,該公司在本月初發現有人在駭客論壇上,公布Zoom用戶個資,他先是以文字張貼數百筆用戶電子郵件和密碼,以便在這個論壇上打開名氣,免費洩露的資料包含如科羅拉多、佛羅里達州大學等用戶帳號。

之後資安公司出價向他購買,最後以每個帳號0.002美元的價格買到53萬筆用戶個資,包括電子郵件、密碼、Meeting URL及主持人密鑰等。其中不乏知名金融公司如摩根大通、花旗銀行及學校等機構用戶。

經過求證,有些帳密仍然有效,有些則已是過時資料,後者顯示可能來自之前的帳號填充(credential attack)攻擊。

同期又有另一家以色列安全廠商IntSights研究人員,在研究深網(deep web)及暗網(dark web)論壇時,發現有人分享一個資料庫,包含2,300多筆Zoom用戶帳號的使用者名稱及密碼。

深究這個資料庫,這些帳號顯示其他用戶身份,像是用戶所屬的單位如銀行、顧問公司、醫療機構、軟體公司或教育機構等。外洩資料包括電子郵件和密碼,有的更包括meeting ID、姓名及會議主持人密碼。

IntSights資安長 Etay Maor指出,攻擊者利用Google或LinkedIn即可辨識出Zoom帳號主人,然後就能以這些資訊冒充用戶,進行商業電子郵件詐騙(Business Email Compromise,BEC)攻擊,要求被害者同事轉帳,或是分享重要的檔案或資訊。

這兩起事件是否相關,或由不同人士所為,則不得而知。

研究人員還指出,地下論壇這篇Zoom用戶資料貼文的後續回應,也值得關注。例如有人問到如何切入他人的Zoom會議,這就是之前FBI警告亂入Zoom會議的行為,名為Zoom Bombing。此外還有人特別問了Zoom查核(Zoom checker),及帳號填充(credential stuffing)等攻擊手法。Zoom 查核是利用偷來的信用卡小額捐款測試該卡是否還能用,如果可行,歹徒就會用這張卡進行詐欺交易。論壇中甚至有人建議可以OpenBullet,這是一種針對Web App的開源滲透測試工具,但也可作為帳號填充及DDoS攻擊,之前也被拿來攻擊智慧門鈴Ring的用戶。

所有企業都可能被駭客以帳號填充攻擊,也就是拿現有電子郵件和密碼到每個網站去測試,因此安全廠商呼籲用戶必須確認自己在每個網站的帳密,都不可以重複用於其他服務帳號。使用者也可以到Have I Been Pwned資料外洩通知服務,輸入自己的電子郵件測試是否曾經外洩。

上周以色列當地的安全公司Sixgill也向媒體透露,有駭客將盜來的352個Zoom帳號公布於暗網。


Advertisement

更多 iThome相關內容