Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?
如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。
變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!
和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。
根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
