信息来源:安全内参
-
美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击,5400万消费者征信数据泄露,绝大多数为南非公民,据了解南非总人口约6060万人;
-
黑客团伙透露,通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器,该服务器的密码为“Password”;
-
TransUnion公司称,将为受影响的消费者免费提供身份保护年度订阅服务,预计成本将超过114亿元。
国际知名消费者信用机构TransUnion日前证实,已沦为“第三方”黑客攻击的受害者,但不会支付任何勒索赎金。
因弱密码被黑,
几乎所有南非民众征信数据泄露
巴西黑客团伙N4aughtysecTU声称对此次攻击负责,并表示已经成功访问到5400万消费者的个人信息,总数据量约达4 TB。
TransUnion南非公司证实,黑客团伙确实利用授权客户凭证窃取了访问权,目前相关账户已被封停。
N4aughtysecTU团伙透露,他们入侵了某台安全性较差的TransUnion SFTP服务器,从中窃取到大量消费者个人信息,其中大部分来自南非国内,也涉及一部分其他国家用户的记录。根据联合国统计数据,目前南非总人口为6060万人。
该团伙同时强调,他们并未像TransUnion官方说明的那样,窃取了什么用户凭证,而是对SFTP服务器发动了暴力攻击。据称,他们最终入侵账户时使用的密码为“Password”,如此简单的内容难怪可以快速完成暴力破解。
NordVPN在一份报告中将“password”列为2021年全球五大最常用密码之一,目前的暴力手段在1秒内就能将其破解。
TransUnion网站发表了以下声明:
-
此次事件影响的是一台隔离服务器,此服务器中保存有我司在南非的部分业务数据。
-
我们的团队正在与外部专家密切合作,以了解具体哪些数据受到了影响。
-
受影响的数据可能包括消费者信息,例如电话号码、电子邮件地址、身份证号码、居住地址及某些信用评分。
在上周末发现黑客企图之后,TransUnion立即将服务中的“部分元素”下线,现在这些服务已经恢复上线。一位消息人士指出,由于黑客方并没有锁死数据以索取赎金,所以本次事件更多属于纯粹的敲诈,而非典型的勒索软件攻击。
TransUnion南非公司CEO Leek Naik解释道,“TransUnion的首要任务,就是保护好我们所持有信息。我们知道目前的情况可能令人不安,TransUnion南非将致力于帮助每一位信息受到影响的个人。”
为消费者提供免费身份保护,
预计成本超百亿元
一位匿名消息人士告知媒体,TransUnion公司认为这5400万条记录泄露,似乎与2017年另外一起并未涉及TransUnion的数据安全事件有关。
这家全球消费者信用机构表示,他们将向“受影响的消费者”免费提供身份保护产品TrueIdentity的年度订阅服务,费用为每人499南非兰特。如果所有5400万个被黑账户全部照此办理,那么总成本将达到惊人的270亿兰特(约114亿元)。
奇怪的是,各家媒体报道的所谓勒索数额,也仅仅在2.23亿至2.25亿兰特之间。
无论赎金数额是多少,此次违规事件都给所有签订过信贷协议的南非人造成了影响。
当民众与银行、其他金融机构、信用卡公司、汽车信贷方、公共事业公司乃至其他债权人签订协议时,实际也就自动同意与征信机构共享信用与付款记录。根据协议约定,申请者的账户信息与付款历史将被上报给TransUnion这类信用分析机构。
行业协会发出警告,
应建立联合防御阵线
南非储蓄与投资协会(缩写:Asisa)高级政策顾问Johann van Tonder表示,协会中的不少成员都在使用TransUnion信用验证服务,此次泄露的信息很可能涉及南非人寿保险的投保人与投资者。
他还提到,“虽然黑客获得的客户信息似乎仅限于姓名、联系方式和身份证号码,但我们担心犯罪分子会利用这些信息来欺骗消费者、诱导他们给出账户密码。”
Van Tonder表示,金融部门非常清楚自身行业当前面临的持续网络安全威胁。为此,储蓄与投资协会已经成立了网络安全事件响应小组,鼓励并促进网络犯罪趋势及其他相关信息的共享,借此帮助各协会成员企业应对网络安全风险。而这支响应小组也成为金融领域的三大现有行业响应小组之一。
Van Tonder提到,负责打击网络犯罪的各部门之间必须建立合作。“为此,储蓄与投资协会正在与南非银行业风险信息中心(缩写:Sabric)密切合作,共同评估TransUnion南非数据泄露事件给南非消费者造成的整体影响。”
风险信息中心首席执行官Nischal Mewalall表示,该中心已经与TransUnion南非合作,希望协调银行业内的多方面努力、保障银行客户资料免受利用。他提到,“南非各银行高度重视客户数据安全,所以随着调查的推进已经制定出一系列强有力的风险缓解策略,意在检测潜在的账户欺诈行为并保护客户个人信息。”
Mewalall还补充道,个人信息泄露不代表攻击者一定可以访问到客户的银行资料或账户,但犯罪分子可以利用这些信息冒充成客户、或者诈骗受害者交出自己的银行机密信息。
为此,风险信息中心敦促各银行客户及其他消费者严格遵循全面的身份管理实践,借此降低身份盗用与欺诈活动风险,同时建议银行客户采取以下预防措施:
-
对于任何通过电话、传真或电子邮件提出的机密信息要求,请勿透露密码、PIN码等个人信息。
-
定期变更密码,切勿将密码与他人共享。
-
对提供个人信息的要求进行充分验证,确保仅在有正当理由时提供这些信息。
-
不继续使用可能已经泄露的信息,而应使用之前未用过的其他个人信息进行身份确认。
参考来源:dailymaverick.co.za、bleepingcomputer.com