微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

又是弱密码的锅,近10TB的商业文件被窃,或与FBI有关

2019-03-12 18:03 小雪

软件制造商Citrix近日承认公司因国际黑客窃取大量数据,现已沦为数据泄露的新受害者。美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,约有6TB至10TB的商业文件被窃取。


Citrix是世界领先的应用服务软件方案提供商,总部位于美国佛罗里达州, 是一家致力于云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。现在流行的BYOD(Bring Your Own Device自带设备办公)就是Citrix公司提出的。 Citrix基于服务器的企业级网络解决方案,使各行各业的计算机用户,包括大中型企事业单位以及新兴的应用服务提供商(ASP),能以更快的速度、更高的可预测性以及更优的性能价格比,为更多的访问者提供更丰富的应用,所覆盖的地域及范围更加广泛。


图片来自于 Flickr


针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后补充道没有任何迹象表明Citrix的产品或者服务受到了损害,但也承认并不清楚黑客到底访问了哪些文件,以及有多少文件被访问过。


Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。这些被盗的文件主要和FBI、NASA、航空航天业,以及沙特阿拉伯国拥有石油的公司有关。

而造成此次泄露事件的关键要素又回到了我们经常谈到的“弱密码”,披露的细节显示,黑客使用了一种名为“password spraying”的策略,利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。弱密码不只被用户广泛使用着,甚至连一些有名的公司也会犯同样的错误。

尽管前不久万维网联盟(W3C)与 FIDO 联盟宣布,新标准WebAuthn让我们无需担心泄密问题,哪怕被入侵者跟踪到用户行为,也无法轻易取得Web 准入资格,传统的钓鱼攻击也会变得更加困难。(详情戳:新!Web身份验证新标,支持免密登陆

不过目前,WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe Twitter等网站上实现了。因此,并非所有网站都可以实现如此安全的免密登陆。

那么,在WebAuthn 被普及之前,更多的人仍然需要警惕存在风险和危险的弱密码。


如何将弱密码升级为强密码?


使用密码短语,而非单纯的密码


密码短语的关键是将词或短语连在一起,形成一个长的短语,最好选择一个自己容易记住但他人很难猜到或破解的短语,入一些随机的符号和字符,进一步加强安全性。


例如:mydogfido’sbirthdayisnovember19

 


使用双因素验证加强密码安全


双因素验证可以把你知道的一些信息(你的密码)与你拥有的东西(你的电话)或你具有的特征(你的指纹),甚至是你所在的地方(你的位置)结合起来。


其在于,如果你的密码不知何故泄露了出去,那么在不知道双因素验证信息的情况下,攻击者还是无法登录你的帐户。

 


在工具箱中加入密码管理器


实际上,如果没有什么东西来帮助记忆、整理和创建密码,很难养成良好的密码习惯,那就选择一款密码管理器。


你可以从我们之前的文章中选择一款你会更感兴趣的密码管理器,详情戳:《4款好用的密码管理器,你值得拥有》


 

在无密码登陆时代来临前,密码仍然是保护网络安全的重要部分,无论对于个人还是企业,都至关重要,警惕弱密码!

 

参考来源:

  • cnBeta.COM

  • lastpass



- End -


(晋级赛Q1正在火热进行中~!)



热门文章阅读


1、安卓机也能运行Windows系统了!你想用吗?

2、进阶安全圈,不得不读地一本书——《加密与解密》第4版

3、看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全

4、简单高效开发你的shellcode不是梦!





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



点击阅读原文,了解更多~

 
看雪学院 更多文章 赛况直播 | 2019 KCTF 开战,这里只用实力说话 使用IDA pro逆向ARM M系核心的Bin固件 今天中午12点,相约看雪CTF 晋级赛Q1,battle起来! 看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全 ScyllaHide的Hook原理
猜您喜欢 Understanding Systrace CentOS7 vs CentOS 6的简单比较 本周不发数,Mr.Zhou要逆袭!数据猿专访Questmobile CEO...... greenplum导入数据的几种方法 腾讯云战略合作漳州招商局经济技术开发区,共建双创“云生态”