• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:457

AdGuard是跨Android、iOS、Windows和Mac的知名廣告攔截器，AdGuard在全球擁有超過500萬用戶，是最著名的廣告攔截器之一。

該公司的首席技術官Andrey Meshkov今天(9月21日)宣布已重置所有用戶密碼。起因為近期一名未知攻擊者試圖通過猜測密碼登錄用戶帳戶，該公司在遭受暴力攻擊後做出此一決定。

Meshkov表示，攻擊者利用其他公司遭到入侵後遭暴露在外的電子郵件和密碼。這種將偷到的帳號密碼來入侵受害者的其他網路帳號的攻擊類型被稱為撞庫攻擊或帳密填充攻擊（credential stuffing attacks）。

AdGuard首席技術官表示，攻擊者在攻擊中成功獲得了一些用於存儲廣告攔截器設定的AdGuard帳戶，但不知道攻擊者究竟存取了哪些帳戶，也不清楚攻擊者試圖對這些帳戶做些什麼，但該系統並沒有被攻破。

Meshkov表示，存儲在AdGuard資料庫中的所有密碼都是加密的，因此我們無法檢查已知洩漏的資料庫中是否存在任何密碼。這就是為什麼該公司決定重置所有用戶的密碼。

該公司表示，AdGuard已連接到資安專家Troy Hunt設置的外洩通知資料庫「Have I Been Pwned」API，以便當用戶配置的新密碼已在其他網路服務中被外洩時，AdGuard系統會向他們發出警告。

AdGuard執行官還透露，該公司在其速率限制系統在密碼猜測階段發現了大量失敗的登錄嘗試後發現了該攻擊，大多數攻擊都已停止，但有些攻擊是成功的，這通常發生在攻擊者幸運在首次登錄嘗試期間猜測到正確組合時。

Meshkov表示，AdGuard未來將使用更嚴格的規則來選擇密碼，並打算在將來支援雙因素身份驗證。

●TWCERT/CC建議，AdGuard使用者如接獲重設密碼信件通知，務必確認信件來源，並應使用官方重設密碼服務，切勿輕易點選信件連結，且不同網路服務應使用不同之密碼，以免遭駭客利用。

攻擊手法：credential stuffing attacks

參考連結：

https://www.zdnet.com/article/adguard-resets-all-user-passwords-after-credential-stuffing-attack/
https://techcrunch.com/2018/09/20/adguard-resets-all-user-passwords-after-account-hacks/