网站攻击威胁与日俱增,全球第二大团购网站LivingSocial近日遭骇客入侵,导致可能超过5000万名用户的个资外泄,LivingSocial于4/27通知这些用户尽快重新设定密码,同时提醒用户若有在其他网站上使用相同的密码,最好也立即重新设定。
LivingSocial对外声明表示,骇客入侵该公司的伺服器,窃取了部分客户的个人资料包括帐号、加密过的密码、姓名、E-mail以及生日…等,而信用卡帐号和交易资讯,因为没有储存在相同资料库,因此未遭窃取。
由于LivingSocial采用SHA-1方式为密码加密,而SHA-1安全性长期以来备受质疑,因此外界认为这些密码极可能遭破解,再加上受影响的用户数目范围太广,资安专家纷纷呼吁各界需要高度关注后续可能影响。
因为多数人都有在不同网站上使用相同密码的习惯,大规模的密码外泄很可能导致连锁效应,Rapid7安全工程资深经理Ross Barrett表示,骇客往往会利用从单一网站取得的密码去入侵其他受欢迎的网站,比如Facebook、LinkedIn和Gmail等。
而这次外泄事件不仅会影响其他网路服务平台,企业单位也需要多加留意。网路保护厂商Lancope安全研究人员Tom Cross提醒企业用户,许多企业员工在LivingSocial使用的密码很可能与登入企业内部网站或VPN帐号所使用的密码相同,因此IT部门必须主动解决不安全、重复密码的问题,并评估公司是否有足够的侦测能力判断帐号是否遭到入侵。
虽然LivingSocial对外承认此次骇客攻击事件,但其并未说明骇客攻击的时间与手法,这也让外界对此有所质疑,一来认为会影响用户权益,二来则是让其他网路平台不能做更好的因应措施,对此,LivingSocial的回应是,因为调查仍在进行,现阶段不方便多做说明。
原文网址: 资安人科技网报导