大量 Disney+ 账户遭非法入侵,用户信息被低价出售
据报道,有成千上万的 Disney+ 账户遭到黑客攻击,并在网络黑市上被公开销售。犯罪分子以每个账户 3 至 11 美元不等的价格出售被盗账户的登录信息。本文将探讨此类事件的发生原因以及如何有效保护您的 Disney+ 账户。
Disney+ 账户是如何被盗用的?
迪士尼公司向Variety媒体表示,他们的服务器“未发现任何安全漏洞的证据”,并声称在其超过 1000 万的用户中,只有“极少部分”用户的登录信息被泄露。
如果迪士尼的服务器没有被攻破,那么为什么会有如此多的账户被盗呢?
问题很可能出在用户重复使用密码的习惯上。如果用户在多个网站上使用相同的密码,其登录信息很可能已经从其他被泄露的网站泄露。黑客只需获取这些已泄露的登录信息,并在其他网站上尝试登录即可。
举例来说,如果用户在多个地方都使用电子邮件 “[email protected]” 和密码 “SuperSecurePassword”,那么在过去几年中,许多网站都曾遭受黑客攻击,因此 “[email protected]/SuperSecurePassword” 这组信息可能已经存在于多个泄露凭据的数据库中。当用户注册 Disney+ 时,他们使用了常用的电子邮件地址和密码。黑客会尝试利用这些泄露的用户名和密码组合,在 Disney+ 和其他服务上进行登录。
我们无法确定这些账户是如何被盗用的,但账户通常就是这样被盗取的。另一种可能的原因是键盘记录恶意软件,它会在用户的计算机后台运行,并捕获他们的凭据。无论如何,最终用户的安全问题似乎才是最主要的原因,而不是迪士尼服务器的漏洞。
重复使用密码是一个严重的网络安全问题。谷歌/哈里斯民意调查在 2019 年初发现,52% 的人对多个账户使用相同的密码,13% 的人到处重复使用相同的密码,只有 35% 的受访者表示他们在任何地方都使用独特的密码。
如何保护您的 Disney+ 账户
为您的 Disney+ 账户和所有其他在线账户设置独特的密码至关重要。记忆如此多强大而独特的密码可能很困难(甚至是不可能的!)。因此,我们强烈建议使用密码管理器。您只需记住一个强大的主密码即可解锁您的安全密码库。密码管理器会自动为您创建强密码,并自动填充到您需要登录的在线账户中。
请务必将您的弱密码、重复使用的密码替换为强大而独特的密码。 让密码管理器来帮助您完成这项繁琐的工作,从而节省您的精力。
我们在这里不推荐任何特定的密码管理器,但我们喜欢 1Password 和 LastPass。 Dashlane 拥有友好的用户界面。 Bitwarden 和 KeePass 是开源的。 您的网络浏览器甚至内置了密码管理器,尽管我们不建议使用它们,但它们总比没有好。
您可以使用Have I Been Pwned?等服务来检查您的密码是否曾在任何已知的数据泄露事件中泄露。像 1Password 和 LastPass 这样的密码管理器也可以检查您使用的任何密码是否曾被泄露。但是,请注意,即使您的密码没有出现在这些数据库中,它仍然可能已被泄露。
以下是一些常见的在线安全提示:确保您的 Windows 电脑运行了反恶意软件,并及时更新软件,并为您的电子邮件等敏感账户启用双重身份验证。即使有人获得了您的用户名和密码,这种双重安全措施也将有助于保护您的账户。
迪士尼正在积极寻找可疑的登录信息
迪士尼公司还向Variety媒体表示,“当我们检测到可疑的登录尝试时,我们会主动锁定相关的用户帐户,并引导用户选择新的密码。” 如果迪士尼真的采取了这样的措施,那么这些泄露的 Disney+ 账户信息对犯罪分子来说可能并非具有很高的价值,即便只是 3 美元。
如果您被锁定在账户之外,迪士尼建议您联系其客户服务部门。
迪士尼应该采取哪些措施来保护用户?
尽管 Disney+ 可能对这些安全事件不负主要责任,但他们可以采取更多措施来保护用户。迪士尼可以提供双重身份验证功能,确保用户在登录时必须提供额外的验证码,例如发送到手机上的验证码或由应用程序生成的代码。
当然,双重身份验证有助于保护那些在各处重复使用密码的用户,但他们可能并不一定会启用此功能。双重身份验证虽然是一个很棒的选择,但并不是适合所有人的解决方案。
除此之外,迪士尼还可以自动搜索泄露的用户名和密码组合,并主动通知 Disney+ 用户更改用户名和密码。Netflix 曾经采取过类似的措施。
然而,最终,Disney+ 并不是唯一面临此问题的平台。犯罪分子也在暗网上出售 Netflix 账户的凭据。糟糕的密码安全实践对许多不同的在线账户都是一种风险。 这也是为什么科技行业一直在讨论废除密码的原因。
需要再次强调,Disney+ *没有*被黑客攻击,也没有发生 Disney+ 数据泄露事件。
如果您对此感到担忧,请注册一个密码管理器 (例如 @LastPass 或 @1Password),生成一个全新的(随机)密码,然后 *更改*您的密码。
此外,请访问 https://t.co/wKe1GnPdqV 并检查您的账户。
— 贾斯汀杜伊诺? (@jaduino)2019 年 11 月 19 日