美國共和黨副總統候選人,現任阿拉斯加州州長佩林,在雅虎設立的電郵戶口最近被黑客成功入侵,並且把戶口內的資料全部打包成一個壓縮檔,然後在一個互聯網討論區內公開。
不少人認為黑客運用雅虎郵件系統內的一些保安漏洞,成功入侵佩林的戶口,實際情況卻出乎很多人意料之外。這名黑客並不用攻擊雅虎的主機盜取密碼,而是利用免費電郵戶口領取密碼問題中一些明顯對名人不利的漏洞,來達致目的。
迂迴手法入侵
由於使用免費電郵的人,並不希望身份證號碼、社會保障號碼等資料交託別人,因此,免費電郵一般都不能像 ISP般,憑信用卡號碼之類資料來核證戶口擁有人身份,並且重發密碼,而是讓使用者回答一些「標準問題」,例如生日日期、伴侶姓名等等。用家不幸忘記了密碼,就可以靠回答這些問題,成功重設密碼,並且將新密碼傳到用家指定的第二電郵戶口中。
大部分網民的個人資料,例如出生年月日、出生地點、所讀學校等等,都不會在維基百科、Google 等地方出現,但公眾人物,特別政界和娛樂界人士,他們很多個人資料都在傳媒曝光,並且記載在網絡公共紀錄之上,如果這些人忘了妥善設定接收密碼的後備電郵戶口,那就會讓這些善於從人性缺點中找到漏洞的黑客有機可乘,盜取資料。
查實娛樂界或政界名人並不適宜使用免費電郵戶口作日常用途,因為 Gmail、Hotmail 就算如何在保安方面做得更好,始終都是免費戶口,為顧及大多數平常用家需要,網絡服務商很難特別在保安上兼顧知名人士。一些特別惹火的名人,最好的做法是透過付款的虛擬主機服務,設立擁有自己域名的電郵服務,因為自行設立一部主機去維持電郵系統,就要招呼各路不請自來,特別愛借人主機濫發垃圾郵件的黑客,也是一件相當煩惱的事,將這些交託給信譽良好的虛擬主機供應商,不失為一個好做法。
由於不少人在未出名時,已經常用免費電郵戶口,他們平日與朋友的通訊都用這個戶口,該怎辦?
首先,既然免費電郵戶口如此易開,這些人應該就不同的需要,開不同的戶口,原有的戶口維持與親友間的私人通訊,應付公眾和傳媒的,就另外開一個戶口。由於公眾和傳媒戶口的內容,預計會向公眾發布,就算黑客成功入侵有關戶口,都不會構成太大的損失。
黑客開發新財路
另一方面,在那些「標準問題」的答案上,亦不要答得太正路,至少要令黑客們難以憑公開資料成功回答問題。相比起密碼本身,如果不是那些答案太容易透過公開途徑找得到,黑客要猜到這些問題的答案,應該比密碼還要難,這也是在設計這些標準問題時的假設。有黑客成功利用公開資料,撞破他人戶口,這肯定在不少程式編寫員的意料之外。
總言之,這次利用公開資料成功撞破名人戶口事件,一如釣魚黨般只會陸續有來,名人戶口對立心不良的黑客更加吸引。如果電郵中有一些不見得光的私隱,例如地下情之類,這些名人就會成為勒索對象,而且收益有可能比盜用早被「碌爆」的信用卡更為吸引。做不好防範措施的後果,就是任人魚肉,這一點身為公眾人士要切記。
2008年9月24日 星期三
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言