Yahoo!這兩日出了一個很大的包,旗下的Yahoo Voices──竟然外洩了45萬多筆的帳密資料。
Yahoo Voices如果要翻譯作中文的話可以叫它「雅虎之音」或是「雅虎之聲」,它的前身叫做Associated Content,就如它的名字所說的,這是一個網路聯合出版平台,意在廣納各方好手,主要是自由作者,為雅虎貢獻內容:文章、照片、影片都不拘。幸運的是,台灣的雅虎奇摩並未推出這項服務。
>> 詳情可參考iThome報導: Yahoo證實網站安全漏洞造成45萬筆帳號外洩
令外界非常驚訝的是,雅虎這麼大一家公司──曾經是網路時代代名辭的龍頭級網路公司,竟然以純文字的明碼方式在儲存這些帳密資料,完全沒有加密。
有興趣的可以在這裡下載整份資料,但資料會放多久不確定。下載後兩次解壓縮之後就得到一個大小約17M的yahoo-disclosure.txt的檔案,可直接開啟(17M的純文字檔可見資料之豐富!)。親自看過這資料之後,真的覺得太誇張了!
據了解,駭客是以俗稱資料隱碼攻擊(SQL injection)的方式入侵雅虎的系統,而所外洩的453491筆帳密資料,都包含了一組會員在Yahoo Voices所用的e-mail帳號與相對應的密碼。這些e-mail帳號還是以@yahoo.com的為主,但也有許多是以其他信箱所註冊,如gmail、 hotmail,或是aol等等。
>> 進一步了解資料隱碼攻擊:SQL Injection新威脅大剖析
雅虎對媒體的回應則說,被駭的是舊資料,所以有很多帳密都已經無效,裡面只有5%有效資料,也就是相當於2萬多筆的帳密是正確的。
另一方面,值得注意的是,這些gmail、hotmail帳號的使用者如果使用了與在雅虎一樣的密碼──缺乏資安意識的普羅大眾都有這種慣性,那麼恐怕現在這些信箱也不保了!
駭客的話
這份外洩的資料是由D33ds駭客公司所公布,公布這份資料時表示:
我們並不是在威脅,而是希望給與負責這個子網域(subdomain)安全管理的部門當頭棒喝,讓他們因此有所警惕。Yahoo! Inc.所屬的網路服務實在有很多的漏洞已遭攻擊,所造成的損害遠比我們這次的爆料還要嚴重很多。拜託,不要再這麼大意了! 為避免造成進一步的傷害,所以在此沒有貼出子網域名稱和漏洞參數。
We hope that the parties responsible for managing the security of this subdomain will take this as a wake-up call, and not as a threat. There have been many security holes exploited in webservers belonging to Yahoo! Inc. that have caused far greater damage than our disclosure. Please do not take them lightly. The subdomain and vulnerable parameters have not been posted to avoid further damage.
駭客清楚表明,這次的公布帳密,只是要點醒雅虎與普羅大眾:雅虎這家公司的資安做得真的很爛很爛! 並提醒雅虎不要再爛下去了!
身為雅虎許多服務的重度使用者,這實在說出了我的心聲!
同時也讓我想起去年我的信用卡在PC home被盜刷兩萬多元的那件事,就在被盜刷的前幾天,我在雅虎拍賣才剛被要求重新驗證信用卡資料──雅虎網拍賣家若選擇以信用卡半月結付款(拍賣的成交費和刊登費)經常會被要求重新驗證。而我對於這類資料輸入一向極為小心,一定再三確認不是網釣網頁才會輸入資料。而我有在網路上刷卡的地方也屈指可數:Google, Godaddy, 還有另外兩家多年前的網站代管業者。我沒有證據證明就是雅虎外洩,但整件事的前後推理,自認為最大嫌疑就出在與雅虎的那一次互動。
當然的,這也讓我們想到,網路上經常有人抱怨說在雅虎的資料外洩,但是雅虎一向都是四兩撥千斤:千錯萬錯永遠都是使用者的錯,全都是使用者自己不懂網路安全,不會保護自己的資料。
這次的資料外洩,也幫我們證明了雅虎的資安是真的相當值得好好被懷疑的,絕對沒有他們對外所宣稱的那樣樣安全。
另外也讓我想到去年底發生在台灣但與雅虎無關的另一個資安事件:紅陽科技線上金流平台交易資料外洩。 這些事件都提醒我們,網路上的交易,以及當你要把資料交給任何一家公司時,真的要處處小心。
最後,給一般使用者一個建議。在不同網站上的帳密最好不要一樣。例如:
在雅虎的帳密:
BJXXXX@yahoo.com.tw
123456
在Gmail帳密又用:
BJXXXX@gmail.com
123456
那麼當諸如雅虎這種鳥事發生時,你的另一個信箱(上例中的gmail)大概也馬上會一起淪陷。特別是,現在很多網路信箱服務都有救援信箱的功能,就是當你的信箱淪陷時,能夠透過另一個信箱取得新的密碼取回控制權。如果兩邊帳密一樣(理論上只要密碼一樣),不用說救回資料了~~命運十之八九就是一起殉葬。
另外一種救回信箱的方式則是利用手機驗證。這也是個好方法。
更詳細的資安建議,可再參考另一篇文章: PChome真的有洩露個人資料嗎?
其他相關報導:
. 紅陽科技線上金流平台交易資料外洩!
. 日本雅虎子公司誤刪代管資料!5698家企業資料救不回
. 日本雅虎子公司答客戶:沒做好備份是自己的問題
. 我被劫標了,凶手竟是雅虎「輕鬆付」!
有興趣的可以在這裡下載整份資料,但資料會放多久不確定。下載後兩次解壓縮之後就得到一個大小約17M的yahoo-disclosure.txt的檔案,可直接開啟(17M的純文字檔可見資料之豐富!)。親自看過這資料之後,真的覺得太誇張了!
據了解,駭客是以俗稱資料隱碼攻擊(SQL injection)的方式入侵雅虎的系統,而所外洩的453491筆帳密資料,都包含了一組會員在Yahoo Voices所用的e-mail帳號與相對應的密碼。這些e-mail帳號還是以@yahoo.com的為主,但也有許多是以其他信箱所註冊,如gmail、 hotmail,或是aol等等。
>> 進一步了解資料隱碼攻擊:SQL Injection新威脅大剖析
雅虎對媒體的回應則說,被駭的是舊資料,所以有很多帳密都已經無效,裡面只有5%有效資料,也就是相當於2萬多筆的帳密是正確的。
另一方面,值得注意的是,這些gmail、hotmail帳號的使用者如果使用了與在雅虎一樣的密碼──缺乏資安意識的普羅大眾都有這種慣性,那麼恐怕現在這些信箱也不保了!
駭客的話
這份外洩的資料是由D33ds駭客公司所公布,公布這份資料時表示:
我們並不是在威脅,而是希望給與負責這個子網域(subdomain)安全管理的部門當頭棒喝,讓他們因此有所警惕。Yahoo! Inc.所屬的網路服務實在有很多的漏洞已遭攻擊,所造成的損害遠比我們這次的爆料還要嚴重很多。拜託,不要再這麼大意了! 為避免造成進一步的傷害,所以在此沒有貼出子網域名稱和漏洞參數。
We hope that the parties responsible for managing the security of this subdomain will take this as a wake-up call, and not as a threat. There have been many security holes exploited in webservers belonging to Yahoo! Inc. that have caused far greater damage than our disclosure. Please do not take them lightly. The subdomain and vulnerable parameters have not been posted to avoid further damage.
駭客清楚表明,這次的公布帳密,只是要點醒雅虎與普羅大眾:雅虎這家公司的資安做得真的很爛很爛! 並提醒雅虎不要再爛下去了!
身為雅虎許多服務的重度使用者,這實在說出了我的心聲!
同時也讓我想起去年我的信用卡在PC home被盜刷兩萬多元的那件事,就在被盜刷的前幾天,我在雅虎拍賣才剛被要求重新驗證信用卡資料──雅虎網拍賣家若選擇以信用卡半月結付款(拍賣的成交費和刊登費)經常會被要求重新驗證。而我對於這類資料輸入一向極為小心,一定再三確認不是網釣網頁才會輸入資料。而我有在網路上刷卡的地方也屈指可數:Google, Godaddy, 還有另外兩家多年前的網站代管業者。我沒有證據證明就是雅虎外洩,但整件事的前後推理,自認為最大嫌疑就出在與雅虎的那一次互動。
當然的,這也讓我們想到,網路上經常有人抱怨說在雅虎的資料外洩,但是雅虎一向都是四兩撥千斤:千錯萬錯永遠都是使用者的錯,全都是使用者自己不懂網路安全,不會保護自己的資料。
這次的資料外洩,也幫我們證明了雅虎的資安是真的相當值得好好被懷疑的,絕對沒有他們對外所宣稱的那樣樣安全。
另外也讓我想到去年底發生在台灣但與雅虎無關的另一個資安事件:紅陽科技線上金流平台交易資料外洩。 這些事件都提醒我們,網路上的交易,以及當你要把資料交給任何一家公司時,真的要處處小心。
最後,給一般使用者一個建議。在不同網站上的帳密最好不要一樣。例如:
在雅虎的帳密:
BJXXXX@yahoo.com.tw
123456
在Gmail帳密又用:
BJXXXX@gmail.com
123456
那麼當諸如雅虎這種鳥事發生時,你的另一個信箱(上例中的gmail)大概也馬上會一起淪陷。特別是,現在很多網路信箱服務都有救援信箱的功能,就是當你的信箱淪陷時,能夠透過另一個信箱取得新的密碼取回控制權。如果兩邊帳密一樣(理論上只要密碼一樣),不用說救回資料了~~命運十之八九就是一起殉葬。
另外一種救回信箱的方式則是利用手機驗證。這也是個好方法。
更詳細的資安建議,可再參考另一篇文章: PChome真的有洩露個人資料嗎?
其他相關報導:
. 紅陽科技線上金流平台交易資料外洩!
. 日本雅虎子公司誤刪代管資料!5698家企業資料救不回
. 日本雅虎子公司答客戶:沒做好備份是自己的問題
. 我被劫標了,凶手竟是雅虎「輕鬆付」!
沒有留言:
張貼留言