錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件

倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。

phishing pssword2

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示:

「最近我們發現駭客入侵了我們其中一個網站,並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取,同時亦著手調查此次事件,並且復原遭入侵的系統。

 

在這過程當中,我們發現我們的帳號資料庫已遭非法存取,包括:使用者名稱、電子郵件地址,還有已加密的密碼。請注意,Ubisoft 並未儲存任何個人付款資訊,因此您的扣款卡/信用卡資料並未受到此次入侵影響。

 

有鑑於此,我們建議您修改下列帳號的密碼:<帳號名稱>。」

此外,Ubisoft 部落格上的進一步說明指出,駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著,通知郵件表示:「為了謹慎起見,我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議,但若仔細推敲 Ubisoft 的部落格內容就會發現,其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示:「密碼並非以純文字方式儲存,而是以編碼過的數值儲存。這些數值無法逆向解開,但卻可以強行破解,尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。

那麼,密碼到底是以何種安全方式儲存呢?我確定應該是使用雜湊值,這就是他們部落格所稱的「無法逆向解開」,但如果簡易的密碼可以輕鬆破解,那聽起來應該是使用了強度較弱的未加料雜湊值 (Unsalted Hash),因此很容易被一些查表技術所破解,如「彩虹表」(Rainbow Table) 攻擊。這並非一項令人安心的消息。假使該公司確實採用了加料的雜湊值,那麼,他們是不是所有使用者都採用相同的加料值(Salt),並且使用了講求速度而非講求安全的雜湊值演算法呢?如果是,那他們的密碼資料就仍然無法抵擋彩虹表攻擊。

理想的情況應該是每一使用者的密碼皆使用不同的加料值來儲存,並且採用一種可加入「工作參數」(Work Factor) 的演算法,例如:Blowfish 演算法。這可大幅拉長每個密碼的破解時間,而且由於這個工作參數是可調的,因此可以隨著電腦效能增強而修改。將工作參數值提高,雜湊值的計算速度就會變慢。其效果對計算單一雜湊值的影響是可忽略的,但卻可以讓彩虹表這類需要計算大量雜湊值的攻擊變得不可行。

避免在不同的網站上使用相同的密碼

從這個角度再回頭來看這份通知,其變更其他帳號密碼的建議就顯然更加迫切,而且您從今以後應該盡可能避免在不同的網站上使用相同的密碼。

撇開這一切不談,這份通知還犯了一個最基本的錯誤。它包含了一個想必已通過驗證的連結,讓我直接點一下就能重設密碼,不必再輸入我原本可能以遭破解的密碼來進行變更。

倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。

在不同網站上使用相同的密碼原本就不是件好事,因此,您最好每個不同的網站都使用不同的密碼。這或許聽來既複雜又不可能,但有一個很簡單的方法可以幫助記憶。先使用大小寫字母、數字和特殊符號 (如:$%&!) 來建立一個複雜、但可記住的密碼。您可以試著用一句您記得的英文句子每個字的開頭字母來組合。然後,再搭配一種區分每個網站的方式,例如,將網站名稱的第一和最後一個字母加到您密碼的開頭和結尾,這樣,每個網站的密碼就不會一樣,而且又容易記住。

至於安全提示問題和密碼重設問題,這也是帳號最常被破解的方式之一。當您被要求提供所謂「安全提示問題」的答案時,請想想您的答案是否真的安全。請選擇只有您才知道答案的問題。如果可以自己指定問題的話,請自行指定。如果您被迫必須使用一些標準的問題,如:「第一所學校」或「第一隻寵物」,請記得,您的答案不必是真的,只要是您記得住的回答就行。

@原文來源:https://countermeasures.trendmicro.eu/ubisoft-compromised-breach-notification-fail/

 

@延伸閱讀:

從美聯社 Twitter 帳號被入侵事件,看推特為何一直被駭?

重複使用密碼是幫了網路犯罪份子大忙

以”你的照片”為餌的點擊劫持(clickjack)最常出現在Facebook、Twitter、Google+

106個黑莓機列入不得使用的蠢密碼(含 19 個男女英文名字)

尋找序號產生器,當心木馬入侵~PASSTEAL透過檔案分享網站偷偷潛入使用者的電腦

密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案

1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?

密碼管理 e 指通,再多的密碼也不用記小抄(含七個密碼帳號管理小秘訣)