這幾天的大新聞 eBay用戶帳密資料庫遭駭1億4千萬用戶個資恐外洩,eBay於5月21日在官方部落格緊急發布公告坦言:「該資料庫在二月底和三月初受駭,範圍包括 eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」這些用戶資料都有可能外洩,報導推測恐超過了去年12月美國第二大連鎖商店 Target 遭駭所影響的1.1億客戶,eBay遭駭事件將成為美國史上最大宗資料外洩事件。
eBay目前是說並沒有看到有詐騙事件出現。而且eBay也說此起資料外洩事件並不會影響到PayPal帳號:據他們所說,這些都儲存在分開的系統上。
如果你是eBay客戶,這首先代表的是你要變更密碼了。隨著像這樣的資料外洩事件接二連三的出現,很重要的一點是要在每個網站上都使用獨特的密碼。這也是像趨勢科技PC-cillin 2014雲端版內建的<密碼管理 e 指通>這樣的密碼管理工具可以幫上忙的地方。
除了變更密碼,此一事件也再次顯示出你可能需要看看即時身份竊盜監控。跟其他我們見過的資料外洩事件不同,這次包括了實際地址、電話號碼和出生日期,能夠讓惡意份子更容易去竊取你的身份。只是變更密碼並無法保護你免於此種威脅。
在2014年初,趨勢科技的技術長Raimund Genes預測每個月都會出現一起大規模的資料外洩事件。這之後出現了Target和Nieman Marcus資料外洩事件,所以很不幸地,這預測看起來相當正確。
關於此事件的其他觀點,可以參考以下這篇文章提出了給eBay的五個問題,而且可以同樣地適用於任何廠商。
——————————————————————————————
趨勢科技全球安全研究副總裁 Rik Ferguson
如果你正在製作高知名度的資料外洩事件列表,你現在有個新名字可以加進列表裡了:eBay。在他們網站新聞中心的一篇文章裡,eBay在一定程度上確認了資料外洩的規模,雖然標題上看不出來。
「該資料庫在二月底和三月初受駭,範圍包括eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」
雖然調查還在進行中,目前的文章顯示eBay大致確認只有一個資料庫遭到未經授權的存取,至少文章內的用詞是這樣的意思。現在,如果你是個eBay使用者,你將會需要變更你的密碼。如果你在其他網站上也用了一樣的密碼,那你也要在那些網站上變更密碼(是的,再一次地)。不幸的是,變更名字或地址就沒那麼容易了,所以這些部分所受到的危害還是沒有改變。
eBay,我有一些問題要問你(是的,我很生氣,這些都是我託付給你的資料)
1 – 如果所有的敏感資料都存放在單一的資料庫上,為什麼沒有加密。事實上,為什麼沒有跨多個資料庫的加密?我有些惱怒的注意到,「所有的PayPal金融資料都是加密的」,還在執行兩層式的系統嗎?
2 – 如果你要告訴我,它是加密的,但攻擊者取得了資料庫的登入憑證,那為什麼這些重要的系統沒有使用雙因子身份認證?
3 – 為什麼只靠被駭的登入憑證就可以存取企業網路?再一次,多因子認證呢?
4 – 為什麼具備eBay這樣資源的組織需要花上三個月來發現資料被不當存取過,更不用說還被竊走?入侵外洩偵測系統在哪裡?
5 – 我的密碼是怎樣「加密」的?我想要細節。我想知道是用哪種演算法以及是如何加料(Salted)的。我想知道我的密碼會被暴力破解的實際機率,這樣我才能準確的評估我的受害程度,並提供實用的建議給別人。
額外的加分題
– 一開始的帳號被駭是怎麼發生的,你要如何確保這不會再發生?
有效的安全性已經不再是想要去設計出可以永久阻絕攻擊的架構了,這只是痴人說夢而已。如果他們想進入,他們就會做到。有效的安全性是接受可能被駭的現實,將系統和流程整合以讓你可以及時發現和反應,關鍵是,你要讓攻擊者極難帶走他們原本想要的目標。你又是怎麼做的呢?
你在新聞聲明結尾中提到:「相同的密碼絕對不要在不同網站或帳號上使用」。我同意。我要以此來結束我的「聲明」。
敏感資料,尤其是你被信任而持有的資料,都應該要加密,沒有例外。
噢!還有,如果你送出提供連結來讓我點入以變更密碼的電子郵件。那你就永遠地從我進行聖誕購物的選擇中除名了。