網站攻擊威脅與日俱增,全球第二大團購網站LivingSocial近日遭駭客入侵,導致可能超過5000萬名用戶的個資外洩,LivingSocial於4/27通知這些用戶盡快重新設定密碼,同時提醒用戶若有在其他網站上使用相同的密碼,最好也立即重新設定。
LivingSocial對外聲明表示,駭客入侵該公司的伺服器,竊取了部分客戶的個人資料包括帳號、加密過的密碼、姓名、E-mail以及生日…等,而信用卡帳號和交易資訊,因為沒有儲存在相同資料庫,因此未遭竊取。
由於LivingSocial採用SHA-1方式為密碼加密,而SHA-1安全性長期以來備受質疑,因此外界認為這些密碼極可能遭破解,再加上受影響的用戶數目範圍太廣,資安專家紛紛呼籲各界需要高度關注後續可能影響。
因為多數人都有在不同網站上使用相同密碼的習慣,大規模的密碼外洩很可能導致連鎖效應,Rapid7安全工程資深經理Ross Barrett表示,駭客往往會利用從單一網站取得的密碼去入侵其他受歡迎的網站,比如Facebook、LinkedIn和Gmail等。
而這次外洩事件不僅會影響其他網路服務平台,企業單位也需要多加留意。網路保護廠商Lancope安全研究人員Tom Cross提醒企業用戶,許多企業員工在LivingSocial使用的密碼很可能與登入企業內部網站或VPN帳號所使用的密碼相同,因此IT部門必須主動解決不安全、重複密碼的問題,並評估公司是否有足夠的偵測能力判斷帳號是否遭到入侵。
雖然LivingSocial對外承認此次駭客攻擊事件,但其並未說明駭客攻擊的時間與手法,這也讓外界對此有所質疑,一來認為會影響用戶權益,二來則是讓其他網路平台不能做更好的因應措施,對此,LivingSocial的回應是,因為調查仍在進行,現階段不方便多做說明。
LivingSocial目前在全球有超過7000萬個用戶,其中,韓國、泰國、印尼以及菲律賓等國家的用戶資料存放在不同的系統,因此在這次資料外洩事件中未受波及。