南非公民征信数据因弱密码（口令）泄露 飞天诚信：“第二因子认证”这题我也会

近日，国际知名消费者信用机构TransUnion沦为黑客攻击的受害者。TransUnion南非公司证实，黑客团伙利用授权客户凭证窃取了访问权，目前相关账户已被封停。TransUnion网站发表声明称，此次事件影响的是一台隔离服务器，此服务器中保存有TransUnion在南非的部分业务数据，受影响的数据可能包括消费者信息，例如电话号码、电子邮件地址、身份证号码、居住地址及某些信用评分。当民众与银行、其他金融机构、信用卡公司、汽车信贷方、公共事业公司乃至其他债权人签订协议时，实际也就自动同意与征信机构共享信用与付款记录。根据协议约定，申请者的账户信息与付款历史将被上报给TransUnion这类信用分析机构。

巴西黑客团伙N4aughtysecTU声称对此次攻击负责，并表示已经成功访问到5400万消费者的个人信息（南非总人口约6060万人），总数据量约达4TB。N4aughtysecTU团伙透露，他们入侵了某台安全性较差的TransUnion SFTP服务器，从中窃取到大量消费者个人信息，其中大部分来自南非国内，也涉及一部分其他国家用户的记录。该团伙特意指出，他们成功入侵时使用的密码（口令）是“Password”。此前，NordVPN在一份报告中将“password”列为2021年全球五大最常用密码之一，目前的暴力手段在1秒内就能将其破解。

南非储蓄与投资协会表示，协会中的不少成员都在使用TransUnion信用验证服务，此次泄露的信息很可能涉及南非人寿保险的投保人与投资者。协会已经成立了网络安全事件响应小组，鼓励并促进网络犯罪趋势及其他相关信息的共享，借此帮助各协会成员企业应对网络安全风险。此外，协会正在与南非银行业风险信息中心密切合作，共同评估TransUnion南非数据泄露事件给南非消费者造成的整体影响。

南非银行业风险信息中心提示，个人信息泄露不代表攻击者一定可以访问到客户的银行资料或账户，但犯罪分子可以利用这些信息冒充成客户、或者诈骗受害者交出自己的银行机密信息。风险信息中心敦促各银行客户及其他消费者严格遵循全面的身份管理实践，借此降低身份盗用与欺诈活动风险。

TransUnion公司称，将向受影响的消费者免费提供价值499南非兰特的身份保护产品TrueIdentity年度订阅服务。

“第二因子认证”指的是在信息系统、服务器、网络设备等已经采用口令鉴别机制（因而有可能存在弱口令）的情况下，再增加一种鉴别机制。增加第二因子认证之后，即使口令被攻破，新增加的鉴别机制也可以起到有效的安全防护作用。

动态口令是一种基于密码技术的一次性口令机制。用户无需记忆口令，也无需手工更改口令，口令通过用户持有的客户端器件生成，并基于一定的算法与服务端形成同步，从而作为证明用户身份的依据。动态口令系统可通过RADIUS、PAM等流行框架与应用对接，与默认口令一道形成双因素认证。

FIDO U2F是FIDO联盟的第二因子标准，使用基于USB以或NFC协议的硬件设备提供第二因子认证。飞天诚信于2014年加入FIDO联盟，目前是FIDO联盟董事会成员。飞天诚信构建了丰富的FIDOSecurity Key产品线，包括BioPass FIDO、BioPass FIDO Plus （支持FIDO2和PIV），AllinPass FIDO产品（USB / NFC / BLE）等等。