錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件

倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。

phishing pssword2

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示:

「最近我們發現駭客入侵了我們其中一個網站,並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取,同時亦著手調查此次事件,並且復原遭入侵的系統。

 

在這過程當中,我們發現我們的帳號資料庫已遭非法存取,包括:使用者名稱、電子郵件地址,還有已加密的密碼。請注意,Ubisoft 並未儲存任何個人付款資訊,因此您的扣款卡/信用卡資料並未受到此次入侵影響。

 

有鑑於此,我們建議您修改下列帳號的密碼:<帳號名稱>。」

此外,Ubisoft 部落格上的進一步說明指出,駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著,通知郵件表示:「為了謹慎起見,我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議,但若仔細推敲 Ubisoft 的部落格內容就會發現,其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示:「密碼並非以純文字方式儲存,而是以編碼過的數值儲存。這些數值無法逆向解開,但卻可以強行破解,尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。繼續閱讀