陸國家安全部曝資安風險: 境外駭客侵入系統監控海域

大陸國家安全部:境外駭客通過高清攝像頭監控目標海域情況。(圖:shutterstock)

8月22日,大陸國家安全部微信公衆號發文稱,生活在數位化時代,網路已成爲日常工作學習生活中不可或缺的重要部分,我們在不同的網站註冊帳號、設置密碼,搭建虛擬世界中的私人空間。但如果密碼過於簡單,如連續數位、電話號碼、姓名生日等組合形成的「弱口令」,不僅極易被猜中或破解,還有可能遭到境外駭客攻擊,成爲網路安全防護中最薄弱的突破口。弱口令的風險不止是造成個人隱私的泄露,更有甚者,會給一些重點涉密部門帶來泄密風險。

現身境外論壇的內部數據

大陸國家安全機關工作發現,在某境外論壇上出現中國某企業的內部數據,數據內容包含該企業多個合作客戶姓名、身份證號、家庭住址以及手機號碼等個人隱私信息,如落入不法分子手中將造成嚴重安全隱患。

經覈查,該數據之所以被竊取,是因爲企業網路管理員在開展運維測試後,未及時刪除測試帳號,而該帳號恰好具備管理員權限且口令極易猜解,爲「admin+連續數位」,成爲該企業信息安全維護的一大漏洞,一些客戶的數據由此泄露。

頻頻異地登錄的電子郵箱

某單位在其官方網站公佈對外電子郵箱帳號用於聯絡收信,爲方便查閱歷史郵件,該單位工作人員將所有郵件及附件長期存儲於郵箱雲空間,未定期進行清理。近期頻繁出現異地登錄告警,該單位隨即向當地國家安全機關反映異常情況。

國家安全機關覈查發現,該郵箱爲單位公用郵箱,爲方便工作人員使用,登錄密碼爲單位對外辦公的固話號碼且長期未修改,導致郵箱密碼被境外駭客猜解,進而郵件數據被竊取。

自動切換視角的監控攝像

某跨境物流公司位於大陸沿海港口,園區內裝有大量攝像頭用於監控物流運轉情況。該公司員工小李發現,在午休及夜間,攝像頭時常自動旋轉,尋找並聚焦至停靠、出港的有關船隻。小李立即向公司領導彙報,公司同時將此情況向當地國家安全機關報告。

大陸國家安全機關上門查驗發現,該公司監控系統的管理員帳號密碼爲出廠默認的弱口令密碼,數月前境外駭客開展密碼「撞庫」攻擊,成功登錄監控系統,獲取了監控系統操控攝像頭權限。境外駭客通過高清攝像頭監控目標海域情況,給大陸國家安全帶來風險隱患。

數位化時代,有關單位和個人應提高信息安全意識,履行網路安全義務,增強網路防護,避免使用弱口令,防止數據被竊取、泄露,影響國家安全。

——使用複雜密碼。設置密碼長度至少爲8位,宜同時包含大小寫字母、數位、特殊字符,提高密碼的複雜度,不使用設備或帳戶初始密碼及常見的弱口令密碼。

——定期更改密碼。設置複雜密碼後,並非一勞永逸,隨着時間的推移,密碼仍存在被破譯的可能性。重要網路信息系統應定期(至少3個月內)進行密碼更改,同時要避免數套密碼輪換修改。

——避免密碼串用。在不同平臺及系統避免使用相同的密碼,防止一個密碼泄露後其他系統被「撞庫」攻擊連帶攻破,導致泄密面進一步擴大。

——定期檢查帳戶狀態。計算機系統及網路帳戶通常具備安全審計功能,可查詢歷史異常記錄,定期檢查日誌,及時發現帳戶異常行爲,防止因密碼泄露導致內部數據、信息被持續竊取。

——加強技術防範措施。反間諜安全防範重點單位應當按照反間諜技術防範的要求和標準,採取相應的技術措施和其他必要措施,加強對要害部門部位、網路設施、信息系統的反間諜技術防範。