「娉娉嫋嫋十三餘,豆蔻梢頭二月初」這句唐代杜牧的詩最近突然在網路論壇上爆紅,故事來源是在2011聖誕前夕,網路上開始出現中國大陸各大網站用戶的帳號密碼外洩的下載檔案,經過熱心網友的驗證,這些檔案的真實性非常高,而這一段詩詞則是其中被稱為最牛的密碼「ppnn13%dkstFeb.1st」,如此兼顧文藝性與安全性的密碼,也擋不住密碼明文儲存與外洩,實在令人莞爾。
網站帳號密碼大量外洩在資安風險的角度來看,這是一個相當重大的資安事故,原因在於取得帳號密碼就可以控制一切,目前大部分網站應用服務安全的唯一防線就是用戶的帳號密碼,而帳號與網站上的活動歷程可能包含個人隱私資料等。從事故的衝擊影響面來看,駭客可以取得這樣的資訊,表示網站在實體與虛擬環節上有存在弱點,最大的可能性在於網站應用程式的弱點,駭客透過這樣的弱點接觸到資料庫,進行「拉庫」(把資料庫整個擷取出來)。同時,在密碼存放時,以明文方式處理,使得密碼直接可以被使用,若是以編碼或雜湊值(Hash)如MD5、SHA-1方式,駭客取得後也必須要經過破密的時間成本去運算,事實上很難將「ppnn13%dkstFeb.1st」這樣密碼解出。
其次,當有心人士或犯罪組織取得這樣的資料時,可以藉此取得這些帳號中的相關資訊、嘗試其他使用相同帳號密碼的服務(嘗試使用現有帳號密碼登入確認)、或取得用戶註冊郵件信箱的內容。進一步還有可能用這樣的帳號與信箱進行發送釣魚信件,如「入侵電子信箱,詐取企業貨款」案例,不可不慎!
|
案例分享:入侵電子信箱,詐取企業貨款
2011年10月,位於台中的「OO有限公司」,生產汽車底盤零件,在10月底,該公司電子郵件信箱疑遭駭客入侵,發送電子郵件給墨西哥客戶,並且用類似網址混淆,要求客戶將10萬8000美元貨款匯入歹徒之帳戶得手。
|
事件發生之後,我們通常會觀察其應變的速度、方式與層級,相這樣廣泛性的重大事件,果然引來官方對此事件之重視,據報導指出,大陸工業和信息化部(工信部)在28日發出的通告稱,洩露客戶個資的網站要妥善做好善後工作,儘快以網站公告、電子郵件、電話、簡訊等向用戶發出警示,提醒用戶修改在本網站或其它網站使用的相同用戶名和密碼,並定期更換密碼。另外,大陸工信部還表示,各網站要開展全面的安全自行檢測,加強系統安全防護,落實相關網路安全防護標準,提高系統防入侵、防竊取、防攻擊能力。一旦發生網路安全事件,要按規定向互聯網行業主管部門即時報告。
而各家相關可能的苦主企業,亦有相對應的緊急應變與通知,不外乎先透過網路方式昭告鄉民用戶,該道歉的就出面認錯,相關未被點名但是可能遭受波及的主要服務業者,亦主動採取相關的通知與告警,這是在這個事件中令人感到非常正向的做法,茲整理如下表1。撰稿同時,在台灣車展發生了服務業與消費者的糾紛,而兩相比較之下,雖然性質不同,但是感受度相差甚遠。相對於使用電話通知、簡訊通知的成本太高,以中國大陸的規模較大,採用網路之特性作為通知的管道亦為合理之因應。
表1、相關外洩廠商之應變處置
|
服務提供廠商名稱
|
因應方法
|
|
天涯社區
|
在首頁掛公告、道歉,並通知用戶修改密碼。通過微博天涯社區官方帳號、郵件、手機短信、客服中心、媒體呼籲等多種管道向用戶公開致歉,並提示用戶如何操作保護密碼。
|
|
新浪微博
|
推出短信報警功能,綁定手機的用戶可以設置接收報警短信。一旦帳號出現異地登入、暱稱被改或者密碼被改的情況,系統都會免費給用戶發送短信提醒
鎖定賬號功能,鎖定後他人無法登錄,無法修改這一帳號的密碼及資料。
|
|
人人網
|
已經向緊急要求用戶修改密碼
|
|
網易郵箱
|
已經向緊急要求用戶修改密碼
|
|
金山
|
已經向緊急要求用戶修改密碼
|
|
CSDN
|
負責人與技術長在網路上致歉
|
|
掏寶網
|
發出郵件通知用戶修改密碼
|
|
百度
|
發出郵件通知用戶修改密碼
|
資料來源:本文整理,2011/12
壞事傳千里 . 誠實為上策
此一事件之網路搜尋與被談論到的數量在事發後一週內暴增約七倍,這是所有網路業者夢寐以求的Ranking排名,可惜是壞事傳千里。CSDN的搜尋排名從1.0上升到7.5左右,顯見壞事傳千里的網路威力。
至截稿前,已知可能外洩的來源包含人人網 、178遊戲網 、766遊戲網 、7k7k小遊戲 、CSDN 、IS語音 、當當網 、嘟嘟牛 、凡客成品 、貓撲網 、塞班智能手機網 、太平洋電腦 、網易郵箱 、新浪微博 、永碩E盤、遊久網 、卓越網 、木蚂蚁、天涯社区、爱拍游戏、网易土木、腾讯qq等,以上名單是網路上流傳之可能來源,未經過逐一查證,僅供參考之。截稿前還爆出交通銀行、工商銀行和民生銀行的卡號與帳號密碼,總計可能超過一億筆。
綜觀歷史,此類網站安全事故並不是同一遭,但追究其原因,一般資安顧問或管理者大概會從網站應用程式的安全著手調查,實際上這也是最大的可能原因,包含OWASP 十大網站安全漏洞,其中資料隱碼(SQL Injection)攻擊手法是最容易達成此事故的原因。然而,入侵網站還有其他的各種手法,包含針對網站所在平台的作業系統、資料庫系統、網站服務等弱點,或者透過FTP服務存取到網站的程式及資料庫備份等,均有機會達成這樣的攻擊結果。
因此,要避免相關問題須從以上的各面向進行網站安全之檢查,此一事件應會帶給中國大陸網路服務業者一個相當大的警惕。
另外,還有駭客乾脆就透過社交工程信件,針對網站之重要管理者、資料庫管理者進行魚叉式攻擊(現在換一個包裝名詞叫做APT先進持續威脅),取得相關權限或資料後,幾乎可以達到決戰於境外,不用進網站資料庫也可以取得這樣的結果。
值得我們注意的一個趨勢,現在網站受到攻擊後,大多數的駭客不再採取置換網頁以宣揚其武力或名聲,轉向取得有價的資料進行加值變賣,以獲取利益,足見駭客威脅之升級與轉型。在駭客產業鏈中,駭客取得這些資訊可以拿來做垃圾廣告或釣魚,若帳號有相關的電子支付設定可能會遭到盜刷並窺探其隱私資訊而轉售牟利。
而身為使用者的網民,該如何確保未來不會因此而遭受相關的風險?專家提供的建議是:密碼設定要嚴謹、不同網站用不同密碼且不要有關聯性、定期更換密碼、不想被別人知道的隱私切勿存放於可以上網的裝置中,並且注意不要遺失裝置、透過測試網站忘記密碼的功能,看看到底還有哪些網站,還在用明文密碼等。