名人的帳號往往是駭客下手的頭號目標,6月5日,名為OurMine的駭客組織,宣稱他們成功駭入Facebook執行長Mark Zuckerberg的Twitter、Pinterest、Instagram帳號。
但這件事還沒完,間隔幾天,在6月8日,身為Twitter創辦人之一的Evan Williams,發現他的Twitter帳號也遭到攻擊。Evan Williams向外電Mashable表示,駭客組織OurMine是透過另一個社交網站Foursquare,存取他的Twitter帳號。Evan Williams雖然沒有說明進一步的細節,不過根據他的說法,駭客很有可能是在成功取得他的Foursquare帳號權限後,以這個網站分享推文到Evan Williams自己的Twitter頁面上。
這些事件與許多名人帳號遭駭不同的是,首先,Mark Zuckerberg與Evan Williams都是屬於知名社群網站的創辦人,再者,駭客並非直接針對上述社群網站進行攻擊,因為在Mark Zuckerberg遭駭時,OurMine表示,他們的情資來自於LinkedIn在2012年遭竊的帳號資料,藉由這裡取得的密碼,同時成功登入多個社群網站。另一個令人難以置信的是,駭客公布他們取得Mark Zuckerberg的密碼是「dadada」,是一組極為簡單、很可能被猜中的字串。
或許我們可以猜想,由於Mark Zuckerberg在2012年之後就沒有在Twitter推文過,Pinterest也看來幾乎沒有使用,申請這些社群網站帳號的目的,可能只是要觀察其他同業的做法,並沒有打算長期使用這些服務,所以隨意設定一組極為簡單的通用密碼。
但是,從另外一個角度來看,駭客並非直接針對這些網站攻擊,而是利用一般人難以記憶大量字串,而在許多網站都使用同樣密碼的情況下,拿使用者在LinkedIn的資料,去嘗試在Twitter、Pinterest、Instagram等網站登入。換言之,即使Mark Zuckerberg設定非常複雜的強式密碼,若是維持使用一組密碼走天下的做法,仍然還是難免帳號被駭的命運。
也因為這件事的發生,使得Twitter、Facebook與Netflix等網站,也做出呼籲。例如,通知在多個網路服務中,共用帳號名稱與密碼的使用者,請他們在這些網站中改用不同的密碼。
Mark Zuckerberg的Twitter帳號據傳遭駭,有駭客組織OurMine表示是他們所盜用,該組織藉由推文表示他們取得的密碼來自LinkedIn遭外洩的資料庫。OurMine也同時成功駭入Pinterest平臺,此外,這個組織也宣稱掌握Instagram帳號,但並未被當事人證實。
使用者應藉機檢視密碼安全性,並落實管理機制
這次事件,許多資安廠商在部落格中提出看法,主要把矛頭指向一般人可能會有的不良習慣:多個網站使用同一組密碼,以及密碼強度不足的問題等。Intel Security提到使用者應該運用強式密碼,與多個帳號必須採用不同密碼的策略,再來就是要留意有關資料遭竊的相關新聞等;而Sophos則強調密碼重覆使用的嚴重性。
國內的專家也藉此事件提醒用戶,Symantec首度技術顧問張士龍表示,密碼就是你家的大門鎖,密碼的強度不夠,形同敞開大門等待小偷光顧;Kaspersky臺灣銷售總監黃茂勳認為,人之常情是資安的最大風險,因此也提出落實帳號稽核管理,以及密碼要有過期策略等做法。Forcepoint代理商達友科技副總經理林皇興也在他的臉書中表示,使用者不能在LinkedIn資料遭竊事件發生後,只修改這個社群網站的密碼,其他網站的也要一併更換,此外,由於登記在多個社群網站的電子郵件信箱可能相同,因此,最好每個社交網站採用不同的密碼。
因此,對於使用者而言,在不同的網站,採取不同的強式密碼進行身分認證,並且要定期更換密碼,實屬首當其衝的要務。但現實是,要如何記住這些複雜的密碼,就是相當大的挑戰,所幸,一般使用者可以利用密碼管理軟體,集中儲存,減少必須記憶大量密碼的麻煩,這類軟體知名的有1Password、LastPass、KeePass Password Safe等。
不過,在強化密碼的使用之外,也有廠商提醒應善用網站的功能,以及社群資源。例如,資料治理廠商Varonis,在部落格中建議使用者應啟用網站提供的二次驗證功能,並且運用Have I Been Pwned網站,檢測自己的帳號是否受到相關事件波及。
對於閒置使用者帳號的管理問題,服務提供者也應有所作為
像Have I Been Pwned這種搜尋網站,在近期名人社群網站帳號遭駭事件頻傳而受到關注,這是相關研究人員或是社群自力救濟,統整相關的資料,跳出來架設使用者資料遭竊的搜尋網站,同性質的還有像是Leaked Source。這些網站,提供一般人輸入自己的使用者帳號和電子郵件,查詢是否遭到重大網站的使用者資料竊取事件影響。
這兩個網站,前者由澳洲網路資安專家Troy Hunt製作,後者則沒有表明製作團隊的身分。雖然,他們可能都是基於善意架設,甚至是Leaked Source接受使用者查詢之後,刪除在網站中的搜尋記錄。但對於一般大眾而言,這樣的查詢網站,或許應該由政府單位等具代表性的單位建立,比較能夠減少隱私權等相關疑慮。
我們也要提醒,就算在上述網站沒有查詢到相關記錄,並不能代表就是完全的安全,這只是表示上述網站所有收集的相關資料外洩事件,可能都與自己沒有關連。
但這類網站近期受到關注,也反映出某些現象,例如,每個網站都要求使用者註冊帳號.對於一般人而言,許多網站的帳號可能在試用一段時間之後,因為某些原因便不再使用,閒置多年,甚至忘記它的存在,就像Mark Zuckerberg的Twitter和Pinterest帳號一樣,他可能根本沒想到會被有心人士拿來濫用的一天。
然而,只是一味地要求使用者單方面自保,難道站方就完全束手無策,只能任由駭客對現有機制的漏洞,上下其手嗎?
像國內的批踢踢實業坊(PTT)網站,針對這類閒置使用者,長期以來,一直實施超過4個月以上未登入就進行刪除的政策,雖然對於低活動量用戶造成一定的困擾,相對來說比較安全。實際上,一般網站大多只有提供使用者自行停用的機制,做到定期清除閒置用戶的並不多,這就像企業內部電子郵件信箱,IT人員若是沒有停用已經閒置許久的帳號,便會容易變成有心人士利用的工具。
而對於這些網站而言,他們的使用者帳號的數量眾多,也許需要一套自動化的機制,定期刪除這類使用者。
我們認為,使用者持有的帳號越多,也代表在網路上的足跡越多,比較容易被駭客找到可攻擊弱點。因此,使用者仍有自保的義務,例如使用強式密碼、利用網站的進階身分認證機制等方法,以及對所持有的帳號進行管理等。然而,針對網路服務的業者這一端,不能只是再偏重防堵資料竊取,或是強化身分驗證機制。對於已經註冊帳號與權限的管理,特別是閒置帳號,網路服務廠商也必須同樣重視。
確認網站帳密是否遭公布有方法,專家級網友收集外洩名單供查詢
近期像是Have I Been Pwned、Leaked Source等網站,提供資料外洩帳號的查詢,使用者只要輸入電子郵件信箱或是使用者名稱,這個網站就會從資料庫中比對,顯示與那些曾經遭駭的網站有關。這也突顯一般人可能採用同樣的使用者名稱或是電子郵件信箱,註冊多個網站帳號的情況。
保護數位身分的觀念需從小教育
根據賽門鐵克在今年2月所做的調查,在臺灣,平均每5個人中,就會有1個人與其他朋友或同事共用帳號和密碼。但真正值得留意的是,若以不同年齡層來看,18至34歲使用者共用密碼的情況最為嚴重,幾乎是接近四分之一(24%)的比例,反觀超過55歲以上的使用者,只有不到六分之一(15%)會與其他人共用帳號密碼,這也突顯年輕人可能比較輕忽共用帳號所帶來的資安問題。
照理來說,較為年輕、小時候就能與網路接觸的使用者,對於帳號代表特定身分的觀念,普遍來說,應該要比年長者來得清楚才對,但實際上卻並非如此。因此,在這種情勢中,除了提供服務的管理者應該向使用者提倡之外,或許教育單位更應該不時灌輸學生,資訊安全是每個人的責任,尤其是捍衛自己的數位身分的重要性。
儘管在法律上已經有個資法保障個人隱私,然而現實情況是,立法對於打擊數位時代的網路犯罪,由於難以追查,實際制裁的效果有限,但比起訴求法律約束,遠不如建立正確的身分防護觀念來得實際,使用者才不至淪為數位時代的輸家。
共用帳號與密碼的情況,至今仍然非常嚴重 即使資安界不斷提倡共用帳號的危險性,但根據資安公司賽門鐵克公布的2016諾頓網路安全調查報告,現在在臺灣,還是每5個人就有1位與其他人共享帳號和密碼的情況,而且各年齡層的使用者都有,並非年長者的專利;此外,幾乎所有人都會不同程度在多個網站之間共用密碼,尤其是網站要求必須採用高強度密碼的時候,更是如此。
(資料來源:諾頓網路安全調查報告,2016年2月) |
帳號被駭,使用者大多選擇採取更換密碼處理 雖然許多人的密碼使用習慣有待改進,然而根據資安公司賽門鐵克公布的2016諾頓網路安全調查報告,在臺灣,使用者發現帳號遭到盜用時,高達7成的用戶會更換密碼,但更換密碼往往不能解決問題,顯示多數人可能偏向消極的處理態度。此外,因應使用者會在多個網站中申請帳號,也有網路資安專家製作搜尋網站,供民眾查詢帳號是否受到資料竊取事件的影響。
(資料來源:諾頓網路安全調查報告,2016年2月) |
【相關報導請參考「2016身分保衛戰開打!」】