去年就開始!俄羅斯駭客入侵管理階層信箱 微軟證實:近期才發現
微軟於19日在一篇官方部落格中表示,公司內部從2023年11月遭到俄羅斯駭客集團Midnight Blizzard入侵,部分高階管理階層與網路安全小組的一部份電子郵件內容有外洩。而微軟是直到近期才發現這起事件。根據《ABC》報導指出,Midnight Blizzard是一個由俄羅斯政府資助的駭客組織,網路上有時候也會以Nobelium的名字行事。文章中表示,Midnight Blizzard是採用了一種名為「password spraying」的手法,成功登入一個遺留在系統中菲生產測試租戶帳戶」。報導中也提到,與傳統暴力破解不同,password spraying是使用相同的密碼針對多個未授權的帳戶進行嘗試,用如此方式有機會能夠減少被系統注意到的情形。而駭客在入侵成功後,就透過該帳戶的權限,非法訪問了微軟內部極小比例高階管理階層與網路安全、法律小組的電子郵件,並且從中竊取了相關內容與附加文件。微軟在13日發現這起事件後,就隨即取消了該帳號存取帳號的權限,同時向SEC與公眾公開此次遭受攻擊的始末。而微軟也強調,截至目前為止,沒有明顯證據證明,這次遭到入侵的行為有影響到任何客戶環境、生產系統、原始碼或人工智能。
蟬聯多年還是你!最爛密碼「123456」 全球有254萬人使用
近日有VPN服務廠商推出一份統計報告,從所有外洩的帳號中,列出了2020年200組最常見的「爛密碼」,該公司提醒各位使用者,如果你的密碼在這份清單中的話,要趕快更換。根據VPN服務廠商NordPass所提出的統計報告,「123456」再次蟬聯冠軍,使用人數高達254萬人。第二名則是「123456789」,使用人數下降到96萬人。第三名到第十名分別是「picture1」、「password」、「12345678」、「111111」、「123123」、「12345」、「1234567890」、「senha」。其中比較值得一提的是第十名的「senha」,這個字其實就是葡萄牙語「密碼」的意思,狀況其實就跟拿「password」當密碼差不多。自從資訊安全意識抬頭之後,許多科技網站與科技服務公司,都會統計每年的「最爛密碼」,從2014年以來,不管是哪間公司統計,冠軍幾乎都是「123456」,少部分統計會與「password」並列冠軍。綜觀整份榜單,其實真的以純數字的密碼居多,現在由於網站、服務限制的關係,鮮少允許使用者使用純數字的密碼。但「結合大小寫字母」這個觀念其實也沒有用,畢竟當初訂定密碼建議規範的Bill Burr已經承認這都是天馬行空亂編的。如果使用者想要有個安全的密碼,根據FBI提出的建議,密碼的長度遠比複雜度重要,建議使用者可以挑選幾個英文詞,組成一句字母數「高於」15個字母的句子,像是「VoicesProtected2020WeAre 」、「DirectorMonthLearnTruck」都是不錯的密碼,FBI認為這樣組成密碼,不僅便於記憶,長度也足夠增加破解的難度。