eBay 用戶注意! 更改密碼後帳戶仍未脫險

昨日,eBay 因系統被黑客入侵,雖然密碼已加密,黑客未能夠輕易破解。但基於保安理由,eBay 要求所有用戶更改帳戶密碼。儘管如此,仍有不少用戶的個人資料如姓名、電郵地址、家住地址、電話號碼與出生日期外洩。因此事實上更改帳戶密碼未能夠完全避免任何因而導致的風險。

昨日,eBay 因系統被黑客入侵,雖然密碼已加密,黑客未能夠輕易破解。但基於保安理由,eBay 要求所有用戶更改帳戶密碼。儘管如此,仍有不少用戶的個人資料如姓名、電郵地址、家住地址、電話號碼與出生日期外洩。因此事實上更改帳戶密碼未能夠完全避免任何因而導致的風險。

eBay 因系統被黑客入侵逐要求所有用戶更改帳戶密碼

eBay 在回應媒體查詢時指未知在為數眾多的 1.45 億活躍用戶中共有多少帳戶受影響,更莫論非活躍的用戶。是次洩漏的資料包括用戶姓名、電郵地址、家住地址、電話號碼與出生日期,全部均為重要資訊。在現代網絡上,傳統的黑客攻擊方式已不再是單一的攻擊方式,隨著社交網絡的興起,使用電話數碼,電郵地址等資料作為誘騙用戶的社交工程 (social engineering) 為近年被廣泛使用的攻擊方式之一。因是次攻擊而流失的資料用戶資料好因黑客們提供了一個大好的機會。

黑客可以使用從 eBay 伺服器上駭來的資料來繞過大部份系使用的資料為出生日期,電話數碼,地址等的重設密碼系統。據研究人員Ashkan Soltani 發現已有至少一名在 Twitter 上聲稱擁有 1億 4千多萬份用戶資料出售,反映用戶的資料很大機會會被人在地下市場中售賣。用戶應注意以下情況以保障個人資訊安全。

留意電郵與電話騙案

資訊保安記者 Brian Krebs 指受駭的用戶會接收到更多的垃圾郵件與,而垃圾郵件中多會包含釣魚式攻擊或惡意軟件。他續指,此類資料庫是電話騙局的金礦。在只擁有部份的用戶資料的情況下,騙子往往可以有效的誘導受害者本人提供更多的個人資料。

並非所有的數據都已被加密

稱得上幸運的是用戶密碼已加密,令黑客的未能輕易的取得用戶密碼。但更令人驚訝的是,出生日期、電話號碼等資料於開設帳戶時必須提供予 eBay 的資料,原來除密碼以外其他的帳戶資料都未被加密,而且更是以純文檔案的形式儲存。

用戶在更改密碼後亦應注意以下情況以保障個人資訊安全

業界需要一個數據加密的標準

網絡攻擊隨著網絡的普及只會漸增。幾乎每星期我們都會收到一個又一個網站被攻擊,被網站要求更改密碼。人們大多聚焦於密碼與信用卡資料有否被盜,而忽略了在申請服務時我們被要求提供的大量敏感資料。除了保安的問題外,機構如何保存我們被要求提
供的資料亦應受在大家關注。

業界在儲存信用卡等金融相關數據上已定立了標準,但其餘的資料則未受到任何保障。我們可以隨時更改我們一直沿用的多年的密碼,但其他的資料我們不能修改,若企業們要求我們提供我們的個人資料,我們應該確保他們會將我們資料好好保護。