根據新聞報導,一個俄羅斯的駭客組織,名為午夜暴風雪(Midnight Blizzard),又被稱為諾貝爾姆(Nobelium),駭入微軟主管、法律部門的電子信箱中。
這是駭客主要的入侵途徑: 從2023年11月底開始,駭客使用密碼噴灑攻擊(password spray)來入侵一個測試帳號中,建立據點,然後使用該帳戶的權限來入侵微軟的其他企業郵件帳戶,包含主管、法律部門等。駭客亦洩露了一些郵件和附件內容。
由此可見,系統的強度僅等同於最弱的環節。測試用的系統、服務、帳號均應使用「最小權限原則」(Principle of least privilege),防止攻擊者加以利用(最小權限原則是要求計算環境中的每個模組如用戶或電腦程式只能存取當下所必需的訊息或者資源)。
相關連結: https://www.csoonline.com/article/1296269/russia-based-group-hacked-emails-of-microsofts-senior-leadership.html