弱密码导致公民征信数据泄露 美国巨头面临巨额赔偿

美国征信巨头TransUnion的南非公司，因设置服务器的密码为弱密码“Password”，被巴西黑客团伙暴力破解入侵，导致5400万消费者征信数据泄露，大多数为南非公民。该公司将为消费者提供免费身份保护，预计成本超百亿元。

国际知名消费者信用机构TransUnion日前证实，已经沦为第三方黑客攻击的受害者，但不会支付任何赎金。

因弱密码被黑，数据量约4TB被泄露

据TransUnion南非公司证实，黑客团伙确实利用授权客户凭证窃取了访问权，目前相关账户已被封停。

巴西黑客团伙N4aughtysecTU声称是此次攻击的幕后黑手，并强调没有窃取用户凭证，而是对SFTP服务器发动了暴力攻击，最终入侵了某台安全性较差的TransUnion SFTP服务器。成功访问了5400万消费者的个人信息，总数据量约达4 TB，其中大部分来自南非国内，也有一些时其他国家用户的记录。

据称，入侵账户时使用的密码为“Password”，这么简单的密码，怪不得黑客能快速完成暴力破解。“password”被列为2021年全球五大最常用密码之一，黑客使用暴利手段在1秒内就能够将其破解。

TransUnion网站发布声明：

1、此次事件影响的是一台隔离服务器，此服务器中保存有我司在南非的部分业务数据。

2、我们的团队正在与外部专家密切合作，以了解具体哪些数据受到了影响。

3、受影响的数据可能包括消费者信息，例如电话号码、电子邮件地址、身份证号码、居住地址及某些信用评分。

TransUnion发现黑客攻击后，为了避免更大的损失，立即将服务中的“部分元素”下线，目前这些服务已经恢复上线。由于黑客没有锁死数据以索取赎金，所以本次事件属于纯粹的敲诈，而非典型的勒索软件攻击。

TransUnion南非公司CEO Leek Naik表示，TransUnion的首要任务是保护好持有的信息，同时免费为消费者提供身份保护产品TrueIdentity的年度订阅服务，费用为每人499南非兰特。如果5400万个被黑账户都照此办理，那么成本将达到270亿兰特（约114亿元）。

奇怪的是，各家媒体报道的所谓勒索数额，也仅仅在2.23亿至2.25亿兰特之间。不管赎金是多少，此次事件给所有签订过信贷协议的南非人造成了影响。

金融部门很清楚当面临着严峻的网络安全威胁问题，因此储蓄与投资协会已经成立了网络安全事件响应小组，鼓励并促进网络犯罪趋势及其他相关信息的共享，借此帮助各协会成员企业应对网络安全风险。

个人信息泄露后，黑客可以利用这些信息冒充称客户，或者诈骗受害者交出自己的银行机密信息。为此，风险信息中心敦促银行客户和消费者严格遵循全面的身份管理实践，降低身份盗用和欺诈活动风险。

建议银行客户采取以下预防措施

1、定期变更密码，不要与别人共享密码；

2、不要使用已经泄露的信息，应使用之前未用过的其他个人信息进行身份确认；

3、对提供个人信息的要求进行验证，确保仅在有正当理由时提供这些信息；

4、对于任何通过电话、电子邮件等提出的机密信息要求，不要透露密码、PIN码等个人信息。

个人信息数据安全很重要，消费者应该时刻注意保护好个人信息，不要随意透露自己的密码，同时采取预防措施保护好信息安全。