Fortune 500企業的2,100萬個登入憑證流落暗網

網路暨行動程式安全業者ImmuniWeb本周指出，他們在暗網中發現有超過2,100萬筆待售的使用者憑證，是隸屬於《財星》500大企業（Fortune 500），除了有高達95%的憑證是以明文密碼示人之外，當中的1,600萬筆是在最近這一年才外洩的。

若依照憑證外洩規模的產業來排序，由科技業以507萬筆拔得頭籌，居次的金融業也高達492萬筆，健康醫療為192萬筆，製造業為190萬筆，能源與電信業則分別有175及133萬筆。

ImmuniWeb發現這些外洩資料最熱門的來源除了企業本身之外，也包括企業的合作夥伴或供應鏈，以及無關的第三方。

有趣的是，在這2,100萬筆外洩紀錄中，只用了490萬組密碼，顯示就算是不同的使用者，也會設定同樣的密碼。ImmuniWeb的分析發現，不同產業愛用的密碼也不同，例如科技產業最常用的前三種密碼為passw0rd、1qaz2wsx與career121；金融業最常前的前三名密碼是456a33、student與old123ma；健康醫療為Exigent、password與pass1；製造業為12345678、!qaz1qaz及passer；能源業為password、123456與snowman；電信業則是cheer!、welcome與password。

最愛採用弱密碼的產業則是零售業，有47.29%的密碼被歸類為弱密碼，而最受零售業青睞的前五組密碼則是111111、soccer1、123456789、abc123與password。

ImmuniWeb建議企業應該要全面啟用密碼政策，強制員工使用強密碼，也應針對合作業者建立風險管理機制，導入持續性的安全監控系統，並妥善教育員工有關資安的重要性。