您的Vimeo帐户是否被冻结？这就是为什么

可以肯定地说，个人应对自己的安全负责，当他们没有认真对待这项任务时应承担后果。尽管如此，采取积极措施保护其用户的在线服务提供商绝对值得反击。话虽这么说，与用户交流他们的行为可能与他们自己的行为同样重要，但不幸的是，有时情况并不如所有人所希望的那样。例如，视频共享平台Vimeo向我们展示了如何解释不充分的安全措施会引起很多混乱。

“冻结”帐户让Vimeo用户挠头

上周，一些Vimeo帐户所有者意识到他们无法登录视频发布平台。信息安全杂志The Register的读者David Smith解释说，他收到一条通知，告诉他“一个陌生人”已经访问了他的帐户，为了保护他，Vimeo决定冻结该个人资料。这种情况并没有您想像的那么普遍，尽管我们正在谈论未经授权的访问，但这并不一定意味着在线服务（在这种情况下为Vimeo）已经受到损害。

凭证填充在网络犯罪分子中越来越受欢迎。骗子在其中获取从一个网站（例如，在线讨论板）窃取的用户名和密码的数据库，并在另一平台（例如，Facebook）上进行尝试。由于有如此多的人在多个网站上重复使用相同的登录凭据，因此尽管社交网络本身并未受到黑客的攻击，但仍有相当多的Facebook个人资料遭到破坏。

微软最近发布的一些统计数据表明，密码喷雾在当今也相当普遍。在密码喷雾攻击中，骗子获取已知用户名的列表，并将其与一些常用的易于猜测的密码配对。再次，人们倾向于使用相同的弱密码，这意味着网络罪犯可以相对轻松地侵入用户的帐户。

Vimeo说恶意软件已经窃取了用户的凭据

大卫·史密斯（David Smith）知道他并没有受到证书填充攻击的攻击，而且他还很确定不会涉及密码喷雾。他确信还有其他事情，因为与许多人不同，他为自己的Vimeo帐户使用了唯一的，随机生成的密码。

莫名其妙，他伸出手去登记册，试图了解发生了什么事。记者一点也不明智，但他们确实联系了Vimeo，视频共享平台终于揭示了真正的情况。一位代表告诉The Register，Vimeo的安全团队发现了“从恶意软件捕获的受感染电子邮件和密码组合的列表”。他们如何找到它们仍然是未知的，但是他们确实对其进行了检查，并意识到至少一部分数据是有效的。为了保护用户，他们阻止了对受影响帐户的访问。

尚不清楚被窃取的凭证有多容易获得，但是可以肯定地说，在任何情况下，冻结帐户都是正确的做法。但是，还不太清楚的是，为什么Vimeo在没有通知用户和世界其他地方的情况下这样做了。即使是现在，在这个故事进入The Register每周新闻摘要的方式之后，Vimeo仍未通过常规信息渠道披露任何具体细节，这意味着一些用户可能仍然不知道发生了什么。他们可能也不知道应该扫描设备中的恶意软件并更改密码。

应该采取这样的措施来增强人们对服务提供者的信任，但是，如果没有正确解释这些措施，它们可能会产生相反的效果。希望我们将继续看到在线平台照顾他们的用户，并且还将见证对安全事件的更透明处理。