諾頓 LifeLock 受撞庫攻擊，數以千計帳號遭入侵

一般人常用過短、易記的密碼，並在不同帳號重複使用同一組密碼，無法保障個資安全，這時需要借助密碼管理工具以產生具有強度的密碼。但當密碼管理工具也頻頻爆出資安問題，使用上必須開啟保護措施以防帳號竊用。

數以千計的諾頓 LifeLock（Norton LifeLock）客戶帳號最近幾週遭入侵，母公司 Gen Digital 指出，早在去年 12 月 1 日曾發現入侵客戶帳號的跡象，比在 12 月 12 日系統偵測到大量客戶帳號登入失敗約早兩個星期，駭客可能取得存放在密碼管理工具的重要資訊。

Gen Digital 認為駭客可能採取撞庫攻擊，利用其他漏洞竊取的使用者帳號和密碼，以自動化方式不斷試圖登入諾頓 LifeLock 服務，直到成功為止，使用相同密碼登入不同服務的客戶就有被入侵的風險。不過，諾頓 LifeLock 有提供雙重驗證允許客戶自行啟用，這種做法可以阻止駭客使用竊取而來的密碼直接登入帳號。

「在使用你的用戶名稱和密碼造訪你的帳號時，未經授權的第三方可能已經查看你的名字、姓氏、電話號碼和電子郵件信箱」，諾頓 LifeLock 資料外洩通知說明這個可能性，並向大約 6,450 名帳號被盜用的客戶發出警告。

諾頓 LifeLock 服務提供身分保護和網路安全，這起事件涉及竊取客戶密碼。今年稍早 LastPass 證實資料外洩事件，未經授權的駭客入侵其開發環境，從加密儲存容器備份出客戶的資料庫數據。企業密碼管理工具 Passwordstate 也在 2021 年遭受駭客攻擊，該公司向客戶推送的軟體更新受病毒感染，使駭客能夠進一步竊取客戶密碼。

為了保障個人資訊安全，資安專家普遍建議一般用戶應使用密碼管理工具，以產生具有強度的密碼。但是密碼管理工頻頻爆發資安事件，使用者仍需要採取如雙重驗證登入等保護措施，以防止資料外洩造成的傷害。