NortonLifeLock密碼管理器用戶帳號遭憑證攻擊外洩

原名NortonLifeLock的Gen Digital本周通知多名密碼管理器產品用戶，上個月帳號遭駭導致個人資料外洩。

Gen Digital在向佛蒙特州政府的通報中也公布用戶通知函內容。信中說明，該公司系統並未被駭，他們研判是未獲驗證的外部攻擊者透過憑證填充（credential stuffing）手法而得以存取用戶帳號。該公司也警告用戶的帳號、密碼可能已被其他人所知。

憑證填充是攻擊者利用大批從駭客網站取得或購得的用戶電子郵件、帳號及密碼組合，以網頁機器人對知名服務的用戶帳號，發動暴力破解攻擊。被成功登入的帳號可能被駭客竊取資料，或者變更密碼導致帳號接管。

Gen Digital指出，2022年12月12日該公司偵測到異常大量的登入失敗情形，而當月完成的內部調查顯示，攻擊事件發生在12月1日，並已有為數不詳的成功存取事件。

Gen Digital告知客戶，攻擊者可能已取得服務儲存庫內的資訊，視資訊內容而定，這起事件可能導致其他線上帳號被駭、資料資產遺失或其他機密資訊曝險等後果，尤其如果用戶在其他線上帳號也使用和Norton類似的密碼，或是密碼管理員的主金鑰。

該公司已主動重設這些受害用戶密碼，並已導入其他安全措施、提供信用資料盜用監控服務，此外也建議用戶啟用雙因素驗證強化安全。