您的Vimeo帐户是否被冻结?这就是为什么
可以肯定地说,个人应对自己的安全负责,当他们没有认真对待这项任务时应承担后果。尽管如此,采取积极措施保护其用户的在线服务提供商绝对值得反击。话虽这么说,与用户交流他们的行为可能与他们自己的行为同样重要,但不幸的是,有时情况并不如所有人所希望的那样。例如,视频共享平台Vimeo向我们展示了如何解释不充分的安全措施会引起很多混乱。
“冻结”帐户让Vimeo用户挠头
上周,一些Vimeo帐户所有者意识到他们无法登录视频发布平台。信息安全杂志The Register的读者David Smith解释说,他收到一条通知,告诉他“一个陌生人”已经访问了他的帐户,为了保护他,Vimeo决定冻结该个人资料。这种情况并没有您想像的那么普遍,尽管我们正在谈论未经授权的访问,但这并不一定意味着在线服务(在这种情况下为Vimeo)已经受到损害。
凭证填充在网络犯罪分子中越来越受欢迎。骗子在其中获取从一个网站(例如,在线讨论板)窃取的用户名和密码的数据库,并在另一平台(例如,Facebook)上进行尝试。由于有如此多的人在多个网站上重复使用相同的登录凭据,因此尽管社交网络本身并未受到黑客的攻击,但仍有相当多的Facebook个人资料遭到破坏。
微软最近发布的一些统计数据表明,密码喷雾在当今也相当普遍。在密码喷雾攻击中,骗子获取已知用户名的列表,并将其与一些常用的易于猜测的密码配对。再次,人们倾向于使用相同的弱密码,这意味着网络罪犯可以相对轻松地侵入用户的帐户。
Vimeo说恶意软件已经窃取了用户的凭据
大卫·史密斯(David Smith)知道他并没有受到证书填充攻击的攻击,而且他还很确定不会涉及密码喷雾。他确信还有其他事情,因为与许多人不同,他为自己的Vimeo帐户使用了唯一的,随机生成的密码。
莫名其妙,他伸出手去登记册,试图了解发生了什么事。记者一点也不明智,但他们确实联系了Vimeo,视频共享平台终于揭示了真正的情况。一位代表告诉The Register,Vimeo的安全团队发现了“从恶意软件捕获的受感染电子邮件和密码组合的列表”。他们如何找到它们仍然是未知的,但是他们确实对其进行了检查,并意识到至少一部分数据是有效的。为了保护用户,他们阻止了对受影响帐户的访问。
尚不清楚被窃取的凭证有多容易获得,但是可以肯定地说,在任何情况下,冻结帐户都是正确的做法。但是,还不太清楚的是,为什么Vimeo在没有通知用户和世界其他地方的情况下这样做了。即使是现在,在这个故事进入The Register每周新闻摘要的方式之后,Vimeo仍未通过常规信息渠道披露任何具体细节,这意味着一些用户可能仍然不知道发生了什么。他们可能也不知道应该扫描设备中的恶意软件并更改密码。
应该采取这样的措施来增强人们对服务提供者的信任,但是,如果没有正确解释这些措施,它们可能会产生相反的效果。希望我们将继续看到在线平台照顾他们的用户,并且还将见证对安全事件的更透明处理。