資料外洩/個資外洩 - 資安趨勢部落格

Android – 更潮就更危險！六個Android 主要威脅與安全守則

2012 年 08 月 10 日2013 年 01 月 10 日趨勢科技 TrendMicro

Android – 更潮就更危險！六個Android 主要威脅與安全守則

你也許不知道你下載的 APP可能做以下的行為:

偷偷用你的手機撥打高費率電話
用你的手機自動點閱搜尋引擎上的廣告
將你手機個資如通訊錄等賣到黑市
監聽 GPS 資料
監聽電話和簡訊
自動開啟手機上的麥克風或相機
有別於 Apple App Store 的嚴密控管，上傳至 Google Play 的 App 程式只需通過簡單的檢查，因此該網站上經常出現一些惡意程式 (儘管 Google 只要一發現任何可疑程式就會將它下架)。

Android – 更潮就更危險！六個Android 主要威脅與安全守則

單月惡意 APP 翻 2 倍:從 10,000 增到 20,0000

Google Android 正快速成為 90 年代的 Windows：在使用者之間非常流行，在網路駭客之間也不遑多讓。最新的統計數據顯示，Android 所占的智慧型手機市場已超過 60%，遠超過 Apple 的 iOS，而其平板電腦亦表現不差，這要歸功於各大廠商 (Samsung、HTC、Acer 等等) 對該平台的投入。

不幸的是，趨勢科技 TrendLabs 的研究人員每天都會發現一些新的惡意程式變種，專門鎖定毫無戒心的使用者，從事竊盜、監聽或盜轉銀行帳戶存款等等。

傳統的一些感染方式當然也可能出現在 Android 裝置上，例如：點選了電子郵件和社交網站上的惡意連結、開啟惡意的附件檔案，或者瀏覽了已遭感染的網站等等，但是，歹徒目前最專注的是惡意 App 程式。光是在最近的一個月中，趨勢科技就發現惡意 App 程式數量增加到 2 倍:從 10,000 增到 20,0000。繼續閱讀

Dropbox入侵外洩事件所遺留的疑點

2012 年 08 月 07 日2012 年 08 月 06 日趨勢科技 TrendMicro

作者：趨勢科技資深分析師Rik Ferguson

在7月18號，Dropbox宣稱他們開始調查有使用者聲稱在只跟Dropbox帳號有連結的電子郵件信箱裡收到垃圾郵件(SPAM)電子郵件的事件。兩個星期過後，這其中的問題似乎已經被釐清了。

Dropbox表示：「最近其他網站被盜的使用者名稱和密碼可以被用來登入到少數的Dropbox帳號」。而其中一個被不當存取的帳號正好屬於Dropbox員工，「裡面含有帶使用者電子郵件地址的專案文件」。他們相信垃圾郵件(SPAM)

是因此而來的。

對我來說，這項消息跟它被處理的方式裡面有幾個真正重要的問題。Dropbox工程師在「專案文件」裡使用真正的客戶資料，為什麼，不是應該用假資料嗎？而這份文件可以被存取，看起來是因為Dropbox員工將公司帳號密碼重複使用在其他被入侵的網頁服務上。他們沒有指明是哪些服務，但再次地，為什麼呢？

其次，Dropbox選擇透過電子郵件去通知被外洩的使用者，郵件內包含一個連結去重設密碼。這做法跟我們一直以來建議使用者不要去點來路不明郵件內的連結相衝突，尤其是那些要求你連上某個網站去輸入認證資料的郵件。總的來說，根據使用者回報，首頁上沒有出現對這次攻擊事件的說明，也沒要求使用者變更密碼，這樣子讓他們送出的密碼重置信件的可信度產生了問題。比較理想的作法是，受影響的組織可以發送電子郵件通知，但不是提供密碼重置連結，他們應該引導使用者到公司首頁，並在那裡提供進一步的資訊。

最後，Dropbox表示，因為被入侵的結果，有些使用者的密碼會被重設（「在某些狀況下，我們會要求你變更密碼（例如，如果它是個常見密碼或已經很長一段時間沒有變更）」）。問題是，Dropbox要如何知道一個使用者的密碼是個「常見密碼」呢？他們是用明文儲存密碼的嗎？他們儲存密碼是用未加料的雜湊值（unsalted hash）嗎（就像LinkedIn）？他們對每個使用者都加一樣的料，還是他們設計雜湊演算法時注重速度更勝於安全呢？如果以上任一點屬實，那麼他們的密碼資料庫就很容易遭受彩虹表（rainbow table）攻擊，這可不是件讓人放心的事情。

理想上，儲存使用者密碼時，應該為每個使用者都加獨特的料，而在設計雜湊程序時也要採用可以加入「工作因子（work factor）」的演算法（像是Blowflish）。這會大大增加破解個人密碼的時間，因為工作因子是可變動的，可以進行修改以跟上電腦運算能力的進步。只要增加工作因子就可以讓雜湊演算過程變慢。對單一運算的影響是微不足道，但想利用彩虹表攻擊來進行大規模運算就變得不大可能了。

很高興聽到Dropbox會替使用者實施雙因子認證，還有他們所宣布的其他的安全加強措施。但這次消息跟他們的處理方式還是留下了許多疑點。

除此之外，Dropbox的使用者現在要小心會利用Dropbox做餌的釣魚攻擊了。犯罪份子一定會想到去利用它的。而且這件事也告訴了我們，為什麼應該要在每個網路帳號都使用不同的密碼。如果你無法信任你的服務供應商，你就必須會自己的安全負責。

＠原文出處：Dropbox Breach leaves unanswered questions

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁上按讚：https://www.facebook.com/trendmicrotaiwan

@延伸閱讀
測試你的密碼：更多的密碼外洩事件(含複雜密碼,簡單記憶法設定教學)

“電子郵件帳號被入侵,還好裡面沒重要的東西?! “事實上，裡面是大有東西在。

從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)

【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

【立即下載試用PC-clin 2012 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】

@參考推文

雲端系！史上最強防毒軟體現身看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

測試你的密碼：更多的密碼外洩事件(含複雜密碼,簡單記憶法設定教學)

2012 年 07 月 30 日2012 年 08 月 01 日趨勢科技 TrendMicro

Formspring、Billabong、Nvidia和雅虎都傳出了大規模的密碼外洩事件，許多使用者的用戶名稱和密碼都被放到網路上。雅虎被入侵事件影響了45萬名使用者，另外還有39萬名是在Nvidia外洩的。

大約在一個月前，我們首先談到了不安全的密碼和關於密碼的基本問題。隨著最近發生的事件，許多使用者可能需要被再次提醒關於密碼的問題以及如何保護它們。

你的密碼能通過測試嗎？

密碼安全該做和不該做的事

不要使用常見字或連續數字所建立起的短密碼
不要在不同平台使用相同的密碼
要定期變更你的密碼

常見問題

LinkedIn、eHarmony、last.fm、英雄聯盟（LOL）和雅虎，這些網站有何共同點？這些網站都曾經是嚴重的資料外洩受害者，讓數百萬的用戶名稱和密碼被公布在網路上。這些事件告訴我們，大多數網路使用者還在使用不安全的密碼，有太多短密碼（像1234）。還有使用者會用很容易被猜中的密碼。雅虎受駭事件可以看出，這45萬被外洩的用戶名稱和密碼主要都是連續數字（如12345）或用單字當密碼。

不幸的是，這不會是最後一次看到資料竊取攻擊。只要網路犯罪分子可以從偷來的資料中獲利，他們就會不斷地嘗試破解使用者的帳號。一旦發生這種情況，你對你的密碼強度有信心嗎？你的密碼是否有機會對抗這些潛在的攻擊者？

為何我要保護好密碼？

密碼這玩意就跟人類的歷史一樣古老。還記得阿里巴巴和四十大盜的名句「芝麻開門！」嗎？如果你熟悉這故事，你就知道為什麼強盜要用密碼來保護他們的寶藏了。

這就是我們現代密碼的功能。它是我們網路生活的鑰匙。密碼保護我們的身份和敏感資料（像是網路銀行身分認證和信用卡資料等）。這些資料對於我們來說就像是四十大盜的寶藏一樣。而就跟現實生活裡一樣，也有現代的小偷或網路犯罪份子會想去得到你寶貴的資料。一旦他們成功了，任何人都有可能成為網路犯罪分子的受害者，像是身份竊盜，甚或是在某些情況下會造成實際的金錢損失。

繼續閱讀

“電子郵件帳號被入侵,還好裡面沒重要的東西?! “事實上，裡面是大有東西在。

2012 年 07 月 25 日2012 年 07 月 25 日趨勢科技 TrendMicro

「網路安全？我不在乎這個東西，因為我的帳戶又沒有錢」，或是「他們要偷什麼？我的Facebook臉書帳戶嗎？我的電子郵件帳號登錄資料？那裡面根本沒東西呀。」你常常聽到這樣的說法嗎？

「裡面沒東西」的電子郵件帳號被入侵，真的沒關係嗎？事實上，裡面是大有東西在。

除了無法使用電子郵件的麻煩外，你其它帳戶的資料可能同時遭殃。因為控制了你的電子郵件帳戶，就能讓他們在許多的網站中「重設你的密碼」。很多人通常會將這些網站的「歡迎加入」的信件留存在收信匣中，其中包括了你的使用者名稱，有時還會有你的密碼。除此之外，你的電子郵件聯絡人也會被加入到垃圾訊息發送的資料庫中，結果你可能會（非直接地）大量散發垃圾訊息給朋友們。社交網路帳戶對網路犯罪份子們來說更加有用，因為除了掠奪你朋友們的電子郵件位址外，惡棍們還可以傳送不好的連結,試圖偷你朋友們的社交網路帳號。

更甚的是，很多人在不同的帳戶上皆使用同樣的密碼（儘管這實在是個壞主意）。這表示你所有的帳戶皆可能受入侵，這就不是件好玩的事了。

所以如果你還認為讓你非銀行往來類帳戶外洩是無關緊要的，那問題就是你自找的了。

@原文來源：Risks Behind Stolen Email Credentials Remain Unforeseen

✔想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁上按讚：https://www.facebook.com/trendmicrotaiwan

@延伸閱讀:

從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)
關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件，看六種密碼被竊的手法(上）
我複製、貼上密碼，他在幕後接收！-從Hotmail 密碼外洩事件，看六種密碼被竊的手法(下）

【立即下載試用PC-clin 2012 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】

@參考推文

◎ 歡迎加入趨勢科技社群網站

從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)

2012 年 07 月 23 日2016 年 11 月 11 日趨勢科技 TrendMicro

根據Yahoo 遇駭事件,10大最駭密碼,多熟臉孔,其中「123456」踢下2011年奪冠的最駭密碼「password」，按照鍵盤位置排序的「qwerty」再度入圍。

當您在註冊線上服務時，您是否也會使用常見名稱、生日或容易猜到的數字組合來當密碼？您是否還在使用 123456、welcome、甚至是 password 等簡單、容易記得的單字？您所有的線上服務是否都使用相同的密碼？

看看 2011 年爆發的一連串資料外洩事件，而且至今仍經常發生的情況，您所冒的風險就可想而知。七月中，Yahoo Contributor Network 服務平台有將近 50 萬筆使用者名稱和密碼失竊。就在前一天，Formspring 意見交流網站也發現自己有 420,000 筆使用者密碼失竊。去年六月，光是一個星期之內就有 LinkedIn、eHarmony 和 last.fm 等三家公司的數百萬筆使用者帳號密碼外洩。

我們曾多次不厭其煩地提醒您該如何挑選密碼：

失竊的 Yahoo 密碼長度大約都在 6 至 10 字之間。所以，將您的密碼設長一點。至少要 10 至 12 個字，如果是敏感的網站，例如網路銀行，則再設長一點。使用多個字組成的詞，而不是一個單字的密碼。請參考Yahoo 雅虎遇駭,前10大最駭密碼,熟臉孔過半