|
|
51CTO旗下网站
|
|
移动端

全球500强公司的2100万登录信息惊现于暗网上!

暗网上多处出现了从《财富》500强公司窃取的2100余万条登录信息,其中许多登录信息已被破解,以明文形式提供。

作者:布加迪编译来源:51CTO|2019-11-01 09:54

【线上直播】11月21日晚8点贝壳技术总监侯圣文《数据安全之数据库安全黄金法则》

【51CTO.com快译】暗网上多处出现了从《财富》500强公司窃取的2100余万条登录信息,其中许多登录信息已被破解,以明文形式提供。

这些信息是通过抓取多个资源整理而成的,比如Tor网络中的市场、互联网论坛、Pastebin、IRC频道、社交网络和Messenger聊天。

破解的密码

安全研究人员在网络上发现,属于500强公司的登录信息的确切数量是21040296条。

其中大多数来自科技公司,紧随其后的是金融业组织。医疗保健、能源、电信、零售、工业、运输、航空航天和国防等领域的企业组织也榜上有名。

不过,并非所有登录信息都是新的。ImmuniWeb在今天发布的一份报告中称,他们发现的登录信息中有16055871条在过去的12个月已泄密。

然而研究人员发布了一个令人担忧的统计数据:“95%的登录信息含有未加密的或已被攻击者蛮力破解的明文密码。”

研究人员使用机器学习技术,通过清除虚假泄漏、重复密码和自动设置的默认密码,确定了该数据集的准确性和可靠性。

薄弱的热门密码

尽管发现了多达2100万条登录记录,但报告特别指出其中只有490万条是不重复的,“这表明许多用户在使用相同或相似的密码。”

当然,最不安全的密码及其变体出现在了该数据集中;它们出现在几乎所有垂直行业(金融行业除外)的公司的数据集中,用户依赖其他同样薄弱的登录信息。

虽然“password”及其变体并非在所有情况下都最受欢迎,但还是名列使用最频繁的前五个密码。

只要看一下下面的密码就可以清楚地看出,公司仍然还没有学会如何保护对其资产的访问,关于使用强密码的建议完全形同虚设。

就连不使用特殊符号、数字或大写字母的简单密码也比这些密码都要好。

据报告显示,最弱的登录信息来自零售业,几乎一半的密码长度不到8个字符,可以在常用词典中找到。

然而,其他行业的公司在这方面好不了多少。ImmuniWeb报告中密码最弱的十大行业中,大多数三分之一或更多的登录信息在短短几秒钟内即可被破解。

研究人员特别指出,来自数据泄密的密码中约11%是相同的。使用默认密码(机器人程序创建帐户)可以解释这点。

ImmuniWeb称,另一种可能是密码重置程序为大量帐户创建相同的密码。此外,Web安全等级较差(C或F)的子域数量与泄露的登录信息之间也存在着正比联系。

ImmuniWeb首席执行官兼创始人Ilia Kolochenko表示,网络犯罪分子专注于最短、阻力最小的路径来达到目的。从报告中的登录数据来看,他们不费吹灰之力就如愿以偿。

原文标题:21 Million Logins for Top 500 Firms Offered on the Dark Web,作者:Ionut Ilascu

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 加强联网企业网络安全的6条建议
  2. 合规指令:主导 2019 安全重点的网络安全较佳实践
  3. 《中华人民共和国密码法》正式通过(附全文)
  4. 十个很少有人谈到的网络安全风险因素
  5. 全球数据泄露报告:内部威胁成数据安全很大风险!
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

骨干网与数据中心建设案例

骨干网与数据中心建设案例

高级网工必会
共20章 | 捷哥CCIE

317人订阅学习

中间件安全防护攻略

中间件安全防护攻略

4类安全防护
共4章 | hack_man

132人订阅学习

CentOS 8 全新学习术

CentOS 8 全新学习术

CentOS 8 正式发布
共16章 | UbuntuServer

280人订阅学习

读 书 +更多

公钥基础设施PKI及其应用

公钥基础设施PKI(Public Key Infrastructure)是利用公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。公钥基础设施能为...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微