按Enter到主內容區
:::

法務部矯正署桃園少年輔育院(誠正中學桃園分校):回首頁

:::

駭客竊走Yahoo45萬筆帳密

  • 發布日期:
  • 最後更新日期:108-8-28
  • 資料點閱次數:32

攻破Yahoo資料庫防線 駭客竊走45萬筆帳密

 

  日前一駭客集團在網路上宣稱他們成功入侵Yahoo的資料庫,並竊得超過45萬筆的用戶帳號與密碼,而Yahoo也於7/12承認確有此事。
  該駭客集團自稱為the D33Ds Company,他們表示從Yahoo的子網域中發現一個SQL漏洞,藉此入侵Yahoo的資料庫,取得MySQL伺服器變數、資料庫欄目姓名以及453,492組帳號密碼,根據被公布的資料顯示,駭客所指的子網域即Yahoo Voices。
  Yahoo隨後宣告該外洩事件屬實,而他們目前也修補了該漏洞。Yahoo表示,此駭客集團是從Yahoo! Contributor Network的一個檔案中竊取了這些資料,Yahoo Contributor Network為一個分享平台服務,用戶可以上傳文章與照片到此平台上並和其他人分享。
  雖然Yahoo強調,被竊取的Yahoo帳號中,有效密碼的比重低於5%,但因為該服務還可使用如Google或hotmail等其他電子郵件帳號登入,而在這些被竊取的帳號中,共有超過10萬個Gmail帳號,以及5.5個hotmail帳號,這當中有效密碼的比例是多少,Yahoo並沒有加以說明,也因此讓外界對Yahoo的說法感到質疑。
  稍早之前,LinkedIn的650萬個帳號密碼遭竊事件已引起軒然大波,如今又爆發Yahoo被駭的新聞,資安專家表示,這些連續的資料外洩事件顯示業者資料保護做得不夠。Voltage Security資料保護專家Mark Bower表示,該外洩事件再度突顯,即使是大公司也沒有採取足夠措施保護關鍵資料。Marcus Carey則指出,越來越多的企業會將機密資料存在雲端上,如Google的Docs,若網路業者沒有提供更嚴謹的資料保護機制,資料外洩問題未來會更加嚴重。
  另一方面,用戶的資料保護意識也有待提升,從外洩的資料中分析,用戶所使用的密碼並不夠嚴謹。在45萬個帳號中,有2,259個帳號設定密碼為123456,780個使用者乾脆用password當密碼,還437個選擇了welcome。
  為了避免更多資料外洩事件以及造成更多損害,專家呼籲,使用者應該盡快更改密碼,若其他網站也使用該帳號密碼,也要一併更改。此外,要持續留意Yahoo後續公布的訊息,如果該攻擊仍持續進行的話,可能要再度修改密碼。
  Marcus Carey另外建議用戶可安裝密碼管理軟體,比如針對Windows平台的KeePass或LastPass,或是Mac的KeePass X和1Password,藉由密碼管理軟體,可針對不同網站設定個別密碼,若資料不慎外洩,也可避免帶來更大的影響。
原文網址:攻破Yahoo資料庫防線 駭客竊走45萬筆帳密,Information Security 資安人科技網

 

回頁首