倘若您的企業不幸必須通知客戶有關資料外洩的情況，千萬不要在密碼重設通知信件當中提供連結，這等於鼓勵客戶養成不安全的習慣，使得他們很容易在這類事件發生之後遭到網路釣魚（Phishing）攻擊。請務必建議客戶自行前往您的網站，然後依照畫面上很容易找到的指示操作。

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示：

「最近我們發現駭客入侵了我們其中一個網站，並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取，同時亦著手調查此次事件，並且復原遭入侵的系統。

 

在這過程當中，我們發現我們的帳號資料庫已遭非法存取，包括：使用者名稱、電子郵件地址，還有已加密的密碼。請注意，Ubisoft 並未儲存任何個人付款資訊，因此您的扣款卡/信用卡資料並未受到此次入侵影響。

 

有鑑於此，我們建議您修改下列帳號的密碼：<帳號名稱>。」

此外，Ubisoft 部落格上的進一步說明指出，駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著，通知郵件表示：「為了謹慎起見，我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議，但若仔細推敲 Ubisoft 的部落格內容就會發現，其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示：「密碼並非以純文字方式儲存，而是以編碼過的數值儲存。這些數值無法逆向解開，但卻可以強行破解，尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。」 繼續閱讀