×

用戶資源

聯絡我們

  • 線上客服
  • 聯繫我們
  • 客服專線 (02) 2258-5981
Hal Licino

Yahoo 遭駭客入侵,流出未加密的 45 萬批使用者密碼

Jul 18 2012, 12:35 AM by

這世界上大部分的人都將巨型網路集團視為某種科技魔法的大型神廟,而沒有發現其實這些為人所熟知的名字其實只是混淆愚弄人心的迷霧。唯有當大型駭客事件發生,揭露這些網路公司 IT 的基礎漏洞(大到整個飛機機組人員可以安全滑翔通過…)的時候,人們才又願意正視這個事實。
密碼被存在未加密的純文字檔案中
最近一個「哎呀糟糕」事件是約莫 45 萬用戶密碼和信箱因為 Yahoo 的電子郵件服務安全漏洞而流出。Yahoo 證實了這個令人擔憂的消息,但也附帶說明只有百分之五的數據是有效資訊,試圖緩和輿論聲浪。根據公司的發表聲明,駭客駭進 Yahoo 的子網域 Yahoo Contributor Network(一個用來分享內容的平台),找到一個舊檔案後散布出去。

遭竊的電子郵件信箱和密碼來自 Yahoo 電子郵件個人服務,還有其他附屬子公司。業界相關人士最不滿的一點,是這些密碼只以純文字檔案儲存,完全沒有任何形式的加密措施…而這應該是像Yahoo這種大公司至少對保護重要個人資料該做的,最基礎、最根本的防護措施。
數位牧場門戶洞開,萬馬奔騰
現在數位牧場的柵欄全開,馬匹快樂地四處奔馳,Yahoo 宣布導致個資洩漏的問題已經解決,而且受影響的使用者都已經更改過密碼。此外,Yahoo 也要其他公司通知使用者,他們的帳戶資料也可能已經洩漏。公司發布的聲明也一再對所有受影響的使用者致上歉意。
駭客們歡欣鼓舞
許多新聞網站指出這群駭客來自 D33D 公司,以典型的假電話號碼和無效電子郵件信箱註冊在烏克蘭。這個團隊以前默默無名,據稱他們透過 SQL 資料隱碼攻擊竊得未加密的密碼。這種手法常用於攻擊程式設不良的網站,透過錯誤的資料伺服器指令執行從任何有漏洞的地方竊取資料。駭客通常愛將他們的違法行為正當化,D33D 也不例外。這個團隊聲稱他們希望負責此子網域安全防護的相關人士能把這次攻擊當成一個警告。這是典型的說詞,駭客總愛宣稱他們只是無償地為增進國家網路安全而工作,而不是只為了滿足個人樂趣。
Yahoo 的失誤
但在這個案例中,這些駭客可能言之有理。網路安全專家指出 Yahoo 本應對庫存數據進行更多的防護動作。TrustedSec 形容 Yahoo 未加密數據的錯誤「非常值得警覺」,而 Eurosecure 直接稱其為「Yahoo 致命的失誤」。這不是 Yahoo 第一次被安上使用者密碼防護措施疏漏到近乎荒謬的罪名。

今年不久前,這家公司才交出劍橋大學七千萬使用者的密碼做數據分析。根據 Eurosecure,如果 Yahoo 有確實遵守業界標準行事,他們就不可能有辦法取得密碼清單還把它們寄出,因為嚴格的密碼機制和 SALT 隨機化會防止此類事件的發生。這指出 Yahoo 內部更巨大的安全防護缺失,而且所有 Yahoo 使用者都絕對應該為此感到憂慮。

即使駭客事件層出不窮,使用者還是在用一些簡單到無稽的密碼。最常被駭客入侵的前三名密碼是 123456、password 和 welcome!但如果我們信任的網站隨意暴露我們的密碼,那編造再複雜的密碼也沒有鳥用。

文章分類 科技新聞, 科技評論

相關文章

留言

留言

從Facebook留言