數據外泄問題日益惡化,不但中小企捉襟見肘,就連不少跨國大企業亦相繼失守。社交網站及交易平台等,擁有大量會員個人資訊,每每首當其衝,成為黑客入侵的目標。
據Websense指,上周,主攻專業人士市場,逾1億5千萬註冊會員的社交網站LinkedIn亦告淪陷,有指該站約6百多萬會員密碼外泄,黑客更把含有加密密碼的文件,張貼到一俄羅斯論壇網頁上,廣邀其他黑客團體對此進行破解。雖然LinkedIn方面未有確認用戶密碼外泄事件,但於其官方Twitter上證實LinkedIn已就事件展開調查。
雖然是次密碼外泄事件中,受影響用戶僅佔用戶總數不足10%,但為保障個人利益,Websense建議所有LinkedIn用戶立刻更改帳戶密碼,用戶若於其他社交網站或交易網站,使用相同電郵及密碼組合,亦宜盡快更改密碼,免被黑客乘虛而入。
曾出現程式漏洞
不久前,研究人員發現LinkedIn有私隱漏洞,故該社交網站被迫更新其流動應用程式(iOS應用)。研究人員指出,LinkedIn這個流動應用程式,會在用戶不知情的情況下,將未經加密的日程記錄,以純文本的形式,發送至LinkedIn公司的伺服器上。這些訊息包括會議記錄等,而會議記錄則往往包括電話會議的電話號碼和密碼等。為此,LinkedIn 回應指該流動應用程式將不再發送會議記錄等訊息,並強調說,日程表將變成一項可自由剔選的功能選項。此外,LinkedIn還將推行的新措施,提供了列表,解釋他們會對用戶數據做些甚麼。
另LinkedIn方面並表示,受影響用戶的密碼將會失效,而相關用戶將收到電郵指示應如何重新設立密碼。
加密手法容易破解
Websense研究員於該俄羅斯論壇下載了密碼文件,初步了解,文件內容(即用戶密碼)以散列法顯示;惟研究員亦指出,散列法只須經由電腦處理即一目瞭然,不難解讀。據初步調查,現階段尚未得悉黑客是以哪種途徑或手法取得這批外泄密碼,但經Websense測試後,證實該些密碼為真實密碼,非偽造文件。目前,Websense已於數個互聯網位址發現該份密碼文件,並將有關網站列為黑客網站。
雖然在論壇上登出的文件已經加密,但加密方式並不複雜,況且再複雜的加密法,也有被破解的一天,因為只要電腦運算速度快,透過反覆嘗試,總有機會測試出正確的解密金鑰,密碼亦如是,只要嘗試次數夠多,再複雜的密碼亦有可能被破解。這種透過無腦的反覆嘗試方式來破解密碼的攻擊手法,被稱為暴力攻擊法(brute force attacks)。如今網上流傳着如此大量的用戶密碼,很可能引來各方黑客垂涎,相網發動暴力攻擊法,意圖破解多達6百萬個有效帳戶。
因此,研究員相信黑客可能會利用該批外泄密碼,盜取社交網站帳戶。黑客成功以密碼登入LinkedIn個人帳戶後,可能會藉其發布訊息至該帳戶之所有聯絡人,作推廣或散播病毒用途。由於不少用戶習慣多個社交網站採用相同密碼,因此亦研究員相信,黑客亦會嘗試以同一組外泄密碼登入其他社交網站,廣發留言或訊息。受影響用戶的個人信譽,甚至企業用戶的商譽也有可能因此受損。
Websense方面建議用戶採取以下相應措施,以保障個人私隱:定期更改密碼;確保所採用的密碼組合複雜,即混合英、數、標點符號及大、小楷,且密碼愈長愈好;其他服務及應用程式避免採用相同密碼;若網站提供HTTPS協定,應棄HTTP而採用HTTPS。
沒有留言:
發佈留言