Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?
如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。
變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!
和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。
根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
這裡出現了幾種不同的問題。首先,Yahoo並沒有清楚地說明變更密碼之外的步驟。這可能會導致數百萬人認為自己已經受到了保護,即便事實不是如此。此外,即便你像Simon這樣有安全意識,想要檢視自己的活動紀錄和相關設備,但這並不容易找到。相關的設備沒有列在「帳號安全性」選項中。如圖1(下圖)所示,「帳號安全性」選項並沒有提到相關的設備。
圖1、Yahoo的帳號安全性選項
這設定其實是放在「最近活動」選項中(圖2)。你可以在這裡看到有哪些應用程式連接你的帳號,同時可以加以移除。有意思的是這些應用程式和設備只列出產品名稱(像此例中的iOS)和授權日期。使用者要自己弄清楚哪些屬於正常的。
圖2、Yahoo的最近活動選項
檢視手機設定(如圖3)即可發現些蛛絲馬跡。應用程式並沒有提供選項來變更密碼。這看起來是故意的設計。當你在設備上設定好郵件帳號,就會取得永久性憑證直到被伺服器撤銷。
圖3、iPhone上的郵件設定
Yahoo 用戶該採取的三步驟
雖然不幸的是Yahoo在防護受駭帳號的官方建議中並沒有提到要檢查或移除相關應用程式和設備,但那絕對該放在你的你的行動列表上。事實上,你該採取的3 個行動列表應該長這個樣子:
- 變更密碼。這仍然該是第一步。這永遠該是帳號遭受侵害後的第一反應。如果你在其他網路服務使用重複的Yahoo密碼,就必須全部變更。很難記住各個不同的密碼?可以試試看像趨勢科技密碼管理通這樣的密碼管理程式。
- 設定雙因子身份認證(2FA)或使用Yahoo的帳號金鑰。這可以讓攻擊者難以進入,即便你的密碼資料已經外洩。只是不要指望2FA會重設你的iPhone郵件應用程式設定。你還是需要經由網站來移除設備。
- 查看你的設備和活動。了解哪些設備存取帳號是發現異常或未經授權活動的關鍵。你特別應該檢視列在「最近活動」選項的相關應用程式,同時檢查「帳號安全性」選項來啟用應用程式帳號。
使用者在收到資料外洩事件通知後所採取的步驟往往決定了是否會出現進一步的帳號危害。現在還無法知道攻擊者是否能夠解密竊來的密碼或打算如何使用其它外洩的資料。無論如何,如果你變更了密碼並檢查了相關設備,你就不太可能會受到影響。了解所需的行動,可以讓你對帳號安全擁有一定程度的控制。
@原文出處:Think changing your Yahoo password is enough? Think again… 作者:Dustin Childs(零時差計畫交流)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。