日前一駭客集團在網路上宣稱他們成功入侵Yahoo的資料庫,並竊得超過45萬筆的用戶帳號與密碼,而Yahoo也於7/12承認確有此事。
該駭客集團自稱為the D33Ds Company,他們表示從Yahoo的子網域中發現一個SQL漏洞,藉此入侵Yahoo的資料庫,取得MySQL伺服器變數、資料庫欄目姓名以及453,492組帳號密碼,根據被公布的資料顯示,駭客所指的子網域即Yahoo Voices。
Yahoo隨後宣告該外洩事件屬實,而他們目前也修補了該漏洞。Yahoo表示,此駭客集團是從Yahoo! Contributor Network的一個檔案中竊取了這些資料,Yahoo Contributor Network為一個分享平台服務,用戶可以上傳文章與照片到此平台上並和其他人分享。
雖然Yahoo強調,被竊取的Yahoo帳號中,有效密碼的比重低於5%,但因為該服務還可使用如Google或hotmail等其他電子郵件帳號登入,而在這些被竊取的帳號中,共有超過10萬個Gmail帳號,以及5.5個hotmail帳號,這當中有效密碼的比例是多少,Yahoo並沒有加以說明,也因此讓外界對Yahoo的說法感到質疑。
根據安全公司Rapid 7分析,被盜用的帳號中,約有30%的帳號使用Yahoo信箱、23.6%使用Gmail信箱,以及12.2%使用hotmail信箱,其他還有Aol.com, comcast.com、msn.com、sbcglobal.com、live.com、verizon.net等類型的電子郵件。
此外,Rapid7的安全研究人員Marcus Carey特別指出,其中有123個帳號是來自政府機構(包含.gov),235個與軍事單位相關(包含.mil),因此之後可能被做為目標式攻擊。在這些政府帳號中,有自FBI、TSA(Transportation Security Administration, 美國運輸安全管理局)以及DHS(Department of Homeland Security, 美國國土安全部)等單位。
稍早之前,LinkedIn的650萬個帳號密碼遭竊事件已引起軒然大波,如今又爆發Yahoo被駭的新聞,資安專家表示,這些連續的資料外洩事件顯示業者資料保護做得不夠。Voltage Security資料保護專家Mark Bower表示,該外洩事件再度突顯,即使是大公司也沒有採取足夠措施保護關鍵資料。Marcus Carey則指出,越來越多的企業會將機密資料存在雲端上,如Google的Docs,若網路業者沒有提供更嚴謹的資料保護機制,資料外洩問題未來會更加嚴重。
另一方面,用戶的資料保護意識也有待提升,從外洩的資料中分析,用戶所使用的密碼並不夠嚴謹。在45萬個帳號中,有2,259個帳號設定密碼為123456,780個使用者乾脆用password當密碼,還437個選擇了welcome。
為了避免更多資料外洩事件以及造成更多損害,專家呼籲,使用者應該盡快更改密碼,若其他網站也使用該帳號密碼,也要一併更改。此外,要持續留意Yahoo後續公布的訊息,如果該攻擊仍持續進行的話,可能要再度修改密碼。
Marcus Carey另外建議用戶可安裝密碼管理軟體,比如針對Windows平台的KeePass或LastPass,或是Mac的KeePass X和1Password,藉由密碼管理軟體,可針對不同網站設定個別密碼,若資料不慎外洩,也可避免帶來更大的影響。