智慧管理平臺SchoolDude資料外洩,使用者帳號受影響
最近,軟體公司 Brightly 證實駭客在四月份的資料外洩事件中竊取了近 300 萬個SchoolDude使用者帳號。SchoolDude是一個基於雲端的工單管理系統,主要供學校和大學使用,用於提交和跟蹤維護訂單。其使用者包括校長、行政人員、維修工人、學生和其他工作人員。在向緬因州檢察官辦公室提交的資料外洩通知中,Brightly 表示它正在通知過去和現在的客戶,駭客竊取了他們的姓名、電子郵件位址、帳戶密碼和手機號碼(如果新增到帳戶中)。資料還包括學區的名稱。Brightly 表示它已經重置了客戶的密碼,這是當使用者的登入訊息曝露時的常見做法。公司警告使用者更改在其他使用與SchoolDude相同的憑證的網路帳戶上的密碼。這是關於“憑證填充”的問題,駭客利用以前的資料外洩事件中的密碼來破解具有相同密碼的其他使用者帳戶。Reddit 上的一位系統管理員表示被盜的密碼並沒有加密。當被詢問時,發言人 Annie Satow 沒有否認被盜的SchoolDude密碼未加密,但拒絕對公司的資料外洩通知以外的事情發表評論。Brightly 也未透露事件是如何發生的,或者在事件發生時是否有任何人負責監督公司的網路安全。
Brightly 在通知中表示它於 4 月 28 日發現了外洩事件,比大規模資料竊盜事件發生的一周更晚。2022 年,西門子以 16 億美元的價格從私募股權擁有者 Clearlake Capital 手中購買了 Brightly(之前被稱為 Dude Solutions)。當時,Brightly 表示它擁有 12,000 個企業客戶,主要分布在英國、加拿大、澳大利亞和美國。
為什麼需要使用密碼管理工具
這次SchoolDude的資料外洩事件,顯示了密碼管理的重要性。儘管 Brightly 已經重置了客戶的帳號密碼,但如果他們在其他網站上使用相同的密碼,駭客就可以透過 “憑證填充” 尋找到其他網站上相同的帳戶訊息。這使得他們的其他線上帳戶面臨被盜取的風險。
要保護個人訊息和資料隱私,使用不同的、強大的、經常變更的密碼是至關重要的。然而記住這麼多不同的密碼是有難度的。這時,密碼管理工具就非常有用。密碼管理工具可以隨機生成不同的密碼,並自動儲存在一個安全的資料庫中。它可以自動填寫使用者名稱和密碼,讓使用者不必記憶或輸入這些敏感訊息。
另一個值得注意的安全措施是使用多層身份取證。多層身份取證需要使用者提供兩個或多個因素進行身份取證,以確保只有擁有正確密碼的人才能存取帳戶。與使用密碼管理工具類似,多層身份取證可以有效地阻止駭客攻擊。
結論
資料外洩事件讓我們意識到保護個人訊息和資料隱私的重要性。使用密碼管理工具和多層身份取證是可以採取的措施之一。當然公司也應該加固安全保障,例如加密使用者的密碼,及時發現並應對資料外洩等事件。此外學校和企業應該對其在使用雲端平臺上的管理和運營進行更嚴格的監管,以保障使用者的資料安全。
