freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    美国律师协会近 147 万会员的登陆凭证被盗
    2023-04-23 11:39:06
    所属地 海外

    近日,美国律师协会(ABA)遇到了大麻烦,网络攻击者攻进其旧的网络系统,盗取了 1466000 名会员的旧系统登录凭据。1682221161_6444a869ac6854e0894fa.png!small?1682221162644

    网络攻击事情发生后,美国律师协会陆续通知其会员,2023 年 3 月 17 日,安全人员发现其网络上检测到一名黑客,这名黑客可能盗取了旧会员网络系统的登录凭据。(旧系统 2018 年就不再使用了)

    注:美国律师协会是全球最大的律师和法律专业人士协会,截至 2022 年已有 16.6 万名成员,该组织主要业务是为律师和法官提供服务以及改善美国法律体系的举措。

    网络攻击事件发生在一个月前

    在与 Bleeping Computer 分享调查结果时,美国律师协会表示从事件调查结果来看,此次网络攻击事件波及 1466000 名老会员,未经授权网络攻击者从 2023 年 3 月 6  日左右就开始访问 ABA 的旧网络系统,最终成功进入并盗取了用户名、登录密码等一些信息。此外,虽然此次安全事件不是一次勒索软件攻击,但仍然需警惕威胁攻击者会滥用这些凭据的可能性。

    美国律师协会指出,这些传统证书经过散列和加盐处理,意味着它们已经被安全人员从明文转换为更安全的格式。但是即使密码散列和加盐,随着时间的推移,威胁攻击者仍然有可能对密码进行去散列。

    更糟糕的是,美国律师协会表示如果会员后续没有更改密码,那么用户密码可能是美国律师协会在注册账户时分配的默认密码。

    美国律师协会会员应该怎么做?

    令人担忧的是,部分美国律师协会的会员可能在新会员系统上使用了与 2018 年关闭的旧系统相同的登录凭证,如果出现这种情况,威胁攻击者可能会使用盗来的登录凭证来访问当前的 ABA 会员门户系统。此外,如果会员在其它网站上使用了相同凭证,威胁攻击者可能利用这些登陆凭证访问会员的其它账号。

    因此,ABA 建议会员立刻更改律师协会的登录密码以及使用同一密码的其它网站的登录密码,同时,也要时刻注意冒充 ABA 的鱼叉式钓鱼邮件。

    文章来源:

    https://www.bleepingcomputer.com/news/security/american-bar-association-data-breach-hits-14-million-members/

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录