首頁 > 焦點新聞

攻破Yahoo資料庫防線 駭客竊走45萬筆帳密

作者:編輯部 -2012 / 07 / 13 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

日前一駭客集團在網路上宣稱他們成功入侵Yahoo的資料庫,並竊得超過45萬筆的用戶帳號與密碼,而Yahoo也於7/12承認確有此事。

 

該駭客集團自稱為the D33Ds Company,他們表示從Yahoo的子網域中發現一個SQL漏洞,藉此入侵Yahoo的資料庫,取得MySQL伺服器變數、資料庫欄目姓名以及453,492組帳號密碼,根據被公布的資料顯示,駭客所指的子網域即Yahoo Voices

 

Yahoo隨後宣告該外洩事件屬實,而他們目前也修補了該漏洞。Yahoo表示,此駭客集團是從Yahoo! Contributor Network的一個檔案中竊取了這些資料,Yahoo Contributor Network為一個分享平台服務,用戶可以上傳文章與照片到此平台上並和其他人分享。

 

雖然Yahoo強調,被竊取的Yahoo帳號中,有效密碼的比重低於5%,但因為該服務還可使用如Googlehotmail等其他電子郵件帳號登入,而在這些被竊取的帳號中,共有超過10萬個Gmail帳號,以及5.5hotmail帳號,這當中有效密碼的比例是多少,Yahoo並沒有加以說明,也因此讓外界對Yahoo的說法感到質疑。

 

根據安全公司Rapid 7分析,被盜用的帳號中,約有30%的帳號使用Yahoo信箱、23.6%使用Gmail信箱,以及12.2%使用hotmail信箱,其他還有Aol.com, comcast.commsn.comsbcglobal.comlive.comverizon.net等類型的電子郵件。

 

此外,Rapid7的安全研究人員Marcus Carey特別指出,其中有123個帳號是來自政府機構(包含.gov),235個與軍事單位相關(包含.mil),因此之後可能被做為目標式攻擊。在這些政府帳號中,有自FBITSA(Transportation Security Administration, 美國運輸安全管理局)以及DHS(Department of Homeland Security, 美國國土安全部)等單位。

 

稍早之前,LinkedIn650萬個帳號密碼遭竊事件已引起軒然大波,如今又爆發Yahoo被駭的新聞,資安專家表示,這些連續的資料外洩事件顯示業者資料保護做得不夠。Voltage Security資料保護專家Mark Bower表示,該外洩事件再度突顯,即使是大公司也沒有採取足夠措施保護關鍵資料。Marcus Carey則指出,越來越多的企業會將機密資料存在雲端上,如GoogleDocs,若網路業者沒有提供更嚴謹的資料保護機制,資料外洩問題未來會更加嚴重。

 

另一方面,用戶的資料保護意識也有待提升,從外洩的資料中分析,用戶所使用的密碼並不夠嚴謹。在45萬個帳號中,有2,259個帳號設定密碼為123456780個使用者乾脆用password當密碼,還437個選擇了welcome

 

為了避免更多資料外洩事件以及造成更多損害,專家呼籲,使用者應該盡快更改密碼,若其他網站也使用該帳號密碼,也要一併更改。此外,要持續留意Yahoo後續公布的訊息,如果該攻擊仍持續進行的話,可能要再度修改密碼。

 

Marcus Carey另外建議用戶可安裝密碼管理軟體,比如針對Windows平台的KeePassLastPass,或是MacKeePass X1Password,藉由密碼管理軟體,可針對不同網站設定個別密碼,若資料不慎外洩,也可避免帶來更大的影響。

 


如欲閱讀完整內容,請成為《進階會員》
推薦此文章
63
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…