Instaart将账户黑客攻击归咎于重复使用的密码,但客户仍然缺乏基本的双因素安全

2020-07-25 00:30:16

该公司周四晚些时候发布了一份声明,称其调查显示Insta“没有被泄露或被攻破”,但指出了凭据填充,即黑客从其他被攻破的网站窃取用户名和密码的列表,并野蛮闯入其他账户。

声明写道:“在这种情况下,第三方不良行为者似乎能够使用在之前其他网站和应用程序的数据泄露中被泄露的用户名和密码登录到一些Insta账户。”

在这份声明发布之前,BuzzFeed新闻报道称,超过27万个用户账户的数据在黑暗网络上出售,包括账户用户的姓名、地址、信用卡的最后四位数字,以及他们最近这周的订单记录。

Insta的一位发言人告诉BuzzFeed新闻,Insta表示,被盗的数据只是Insta在美国和加拿大“数百万”客户的一小部分。

但到底谁应该受到责备:是重复使用密码的客户,还是没有采取更多措施防止密码重复使用的公司?

诚然,两者兼而有之。任何互联网用户都应该在每个网站上使用唯一的密码,并安装密码管理器,以便无论您走到哪里都能记住它们。这意味着如果黑客盗走了你的一个密码,他们不可能侵入你所有的账户。您还应该尽可能启用双因素身份验证,以防止黑客侵入您的在线帐户,即使他们有您的密码。通过向你的手机发送代码-无论是通过短信还是应用程序-它为你的在线账户增加了第二层保护。

但Insta不能将所有责任转嫁给它的用户。Insta仍然不支持双因素身份验证,如果客户启用了双因素身份验证,则从一开始就可以防止账户被黑客攻击。当我们检查时,没有在Insta账户上启用双因素功能的选项,也没有在Insta的网站上的任何地方提到它支持安全功能。

谷歌去年公布的数据显示,即使是最基本的两个因素也可以防止绝大多数自动凭据填充攻击。

我们询问Insta是否计划向用户推出双因素服务,但Insta的发言人没有回复我们的电子邮件。

Insta声称安全是“重中之重”,它有一个“专门的安全团队,以及多层安全措施,专注于保护所有客户账户和数据的完整性。”

但如果不给用户提供双因素等基本安全功能,Insta用户几乎无法保护自己的账户,更不用说指望Insta为他们做这件事了。