研究人員透露,在網絡黑客論壇上發現了將近400萬註冊Quidd用戶的憑證,但這種發行方式不受控制。在公司保持沉默的同時,安全專家對390萬個電子郵件地址,用戶名和bcrypt哈希密碼錶示擔憂,其中一些由知名組織(包括Microsoft,Tutanota,AIGM Target等)擁有。
根據ZDNet 說法,Quidd數據洩露必須已在2020年初啟動。洩漏的Quick憑證已於2020年3月12日上載到了多個地下論壇和Pastebin。 ProTag,最初交易電子郵件,登錄名和密碼。幾天後已從交易中刪除了公開憑證。但不長久。研究獲得了一個新的主持人的支持,該主持人的身份是Quidd的憑證,該憑證自2020年3月29日起對所有人免費提供。
接近一百萬的Quidd註冊用戶電子郵件與Microsoft,Tutanota和其他知名實體有關
Quidd Inc.的Quidd是最受信任的應用程序之一,它允許對卡,數字貼紙,3D圖形和其他數字收藏品進行數字交易。作為全球300多個最佳品牌的合作伙伴而聞名。這些應用程序可免費訪問一組貼紙,而其他稀有收藏品則可以用Quidd的貨幣購買。
註冊的Quidd用戶中,絕大多數是青少年。但是,大約有100萬個洩漏的數據集似乎是專業的,指出了諸如賓夕法尼亞大學,塔塔諾塔,維珍傳媒,AIG,益百利,塔吉特,微軟,埃森哲等知名企業。
儘管私營部門和企業部門都具有同等重要的地位,並且可以同樣受到損害,但電子郵件的洩漏和公司的登錄憑據會帶來電子郵件洩漏和隨後的網絡釣魚攻擊的高風險。據推測,由於密碼已加密,因此數據不會普及。但是,Risk Based Security證實,兩個黑客已經破解了用於密碼保護的bcrypt密碼,並開始出售對近一百萬個Quidd帳戶的訪問權限。
數據洩露對每個人(個人用戶,企業和政府機構)都是一個嚴重的問題。
儘管採取了多種安全措施,但在大規模數據洩露期間洩漏的憑據數量仍在不斷增加。洩露的登錄信息,密碼,電子郵件地址通常會導致許多嚴重問題,例如身份盜竊,敏感信息盜竊和金錢損失。
Quids Data Breach只是不允許洩漏的憑據圖下降的示例之一。據統計,整個2019年的大規模數據洩露事件數量比2018年增長了33%,共有79億條暴露記錄。黑市上公開的數據僅僅是黑客的起點,這不是秘密。經過一段沉默期之後,犯罪分子會罷工,並且可以濫用已披露的網絡犯罪憑據,例如勒索軟件或惡意軟件分發,網絡釣魚攻擊,DDoS攻擊以及其他欺詐活動,這些行為使數百萬受害者喪生。
企業應針對數據安全,增加管控措施
除了員工個人要提高防範意識,企業更應從技術上嚴加防範數據洩露。企業自建郵箱及官網系統的運維成本是相當高,而自建郵箱系統的性能和安全性對於相關技術經驗不足的企業來說,風險幾乎是不可控的。
企業郵箱應部署郵件加密證書全程加密傳輸,全面保障數據安全,一方面可以保證郵件發送者身份真實性,另一方面保障了郵件傳輸過程中不被他人閱讀及篡改,並由郵件接收者進行驗證,確保電子郵件內容的完整性。
企業應當為官網部署SSL證書,進行HTTPS加密防止數據在傳送過程中被竊取、篡改、確保數據的完整性;防止運營商的流量劫持、網頁植入廣告現象;同時有效的當中間人的攻擊,大大提升安全性。同時,相對於沒有部署SSL證書的網站,會更吸引客戶產生交易,畢竟SSL證書可以確保網站的真實性、保障在線數據傳輸的安全可靠,從而也能提高收益。
聲明:本網站發佈的圖片均以轉載為主,如果涉及侵權請儘快告知,我們將會在第一時間刪除。本站原創內容未經允許不得轉載,或轉載時需註明出處:GDCA數安時代
