根據紐約州的一項調查顯示，在針對17家不同公司的一系列憑證篡改攻擊中，已經有超過110萬個在線賬戶遭到了破壞。

憑證填充攻擊，如去年對Spotify的攻擊，攻擊者使用自動腳本對在線賬戶進行了大量的用戶名和密碼組合的嘗試，并試圖接管它們。一旦進入到賬戶內，網絡犯罪分子就可以利用被攻擊的賬戶達到各種目的。并以此作為入口，深入到受害者的機器和網絡，提取出賬戶的敏感信息。如果是電子郵件賬戶，他們還可能冒充受害者來攻擊他人。

由于用戶使用了重復的密碼和使用一些常見的容易猜解的密碼，如 "123456"，這種攻擊往往會成功。它們給企業造成的損失很高，Ponemon研究所的 "憑證填充攻擊成本" 報告發現，企業平均每年會因憑證填充攻擊而損失600萬美元，這些都表現為應用程序停機、客戶流失和IT成本增加。

安全意識倡導者James McQuiggan通過電子郵件說："由于在野有超過84億個密碼，其中有超過35億個密碼與實際的電子郵件地址緊密相關，這為網絡犯罪分子提供了一個很方便的攻擊載體，來針對各種在線網站的客戶賬戶進行利用攻擊。這些類型的攻擊可以獲得用戶的個人信息，他們的稅務信息，當然還有他們相關的直系親屬的社會安全號碼。此外，網絡犯罪分子認識到，許多組織或用戶不會使用其他額外的安全措施，而且還會在各種網站賬戶中使用相同的密碼"。

為了研究這個問題的嚴重程度，總檢察長辦公室開始對地下網絡犯罪論壇中專門進行憑證填充攻擊的攻擊活動進行了長達數月的審查。

根據周三的媒體聲明，總檢察長辦公室的網站出現了數以千計的帖子，其中包含了攻擊者在憑證填充攻擊中測試過的客戶登錄憑證，并確認這些憑證可用于訪問網站或應用程序上的賬戶。

該辦公室補充說，受影響的17家機構是知名的在線零售商、連鎖餐廳和食品配送服務公司。

OAG提醒相關公司，盡早通知消費者重新設置密碼。這些公司自己的內部調查顯示，大多數攻擊以前都沒有被發現，因此幾乎所有的公司都實施或計劃實施其他的保障措施，包括：機器人檢測服務、多因素認證和無密碼認證。

紐約總檢察長Letitia James說："現在，有超過150億個被盜的證書在互聯網上流傳，因此用戶的個人信息一直處于危險之中。企業有責任采取適當的措施來保護其客戶的在線賬戶的安全性，我們必須盡一切努力來保護消費者的個人信息和他們的隱私"。

研究人員補充說，用戶也應該提防后續的網絡攻擊。

安全專家Ron Bradley通過電子郵件說："像今天的許多人一樣，我有一個社區專用應用程序，它會提醒我在社區里發生的事情。經常會有人發布威脅者檢查汽車和家庭門鎖的視頻......事實上，互聯網上有數十億個被泄露的憑證，很容易獲得。威脅者將不斷利用這些資源，試圖破壞數字資產"。

如何防范憑證填充攻擊

Bradley提供了一些額外的建議。在這種情況下，身份和訪問管理(IAM)的存在是無比重要的。企業必須要對數據實施多層保護，特別是在訪問敏感數據的時候。

他說，以下的內容是理想的保護方法：

• 使用強密碼是很好的，但是使用口令會更好。
• 應該使用多因素認證進行特權訪問。
• 控制面向互聯網的應用程序的登錄次數，防止進行密碼爆破的嘗試。
• 必須定期部署和驗證檢測響應機制。

安全人員總結道："這些只是保護你的數據所需的一些基本的控制措施，重要的是要記住你的數字資產邊界就像擠壓氣球一樣。你可以收緊一邊，但另一邊就會膨脹。安全人員最大的挑戰就在于如何找到這個中間地帶。當第三方參與進來時，這項任務就會變得越來越困難，因為你必須要確保他們遵循的控制措施不低于你所指定的控制措施。"

每個人都應該停止使用那些已被泄露的舊密碼，查看一個人的賬戶是否可能被攻擊的最簡單方法是查看HaveIBeenPwned.com網站，該網站追蹤了過去15年中出現過數據泄露的電子郵件地址和電話號碼。

本文翻譯自：https://threatpost.com/compromised-accounts-17-major-companies/177417/