这几天的大新闻eBay用户帐密数据库遭黑客攻击1亿4千万用户个资恐泄漏,eBay于5月21日在官方博客紧急发布公告坦言:“该数据库在二月底和三月初受到攻击,范围包括 eBay的客户姓名、密码、电子邮件地址、实际地址、电话号码和出生日期”这些用户数据都有可能泄漏,报导推测此次事件恐怕超过了去年12月美国第二大连锁商店Target遭黑客攻击所影响的1.1亿客户,eBay遭黑客攻击事件将成为美国史上最大一宗资料外泄事件。
如果你正在制作高知名度的数据外泄事件列表,你现在有个新名字可以加进列表里了:eBay。在他们网站新闻中心的一篇文章里,eBay在一定程度上确认了数据外泄的规模,虽然标题上看不出来。
虽然调查还在进行中,目前的新闻显示eBay大致确认只有一个数据库遭到未经授权的存取,至少新闻内的用词是这样的意思。现在,如果你是个eBay使用者,你将会需要变更你的密码。如果你在其他网站上也用了一样的密码,那你也要在那些网站上变更密码。不幸的是,变更名字或地址就没那么容易了,所以这些部分所受到的危害还是没有改变。
eBay,有一些问题要问你:
1、 如果所有的敏感数据都存放在单一的数据库上,为什么没有加密。事实上,为什么没有跨多个数据库的加密?但我们有注意到,“所有的PayPal金融数据都是加密的”,还在执行两层式的系统吗?
2、如果你要告诉我们,它是加密的,但攻击者取得了数据库的登入凭证,那为什么这些重要的系统没有使用双因子身份认证?
3、为什么只靠被攻击的登入凭证就可以存取企业网络?再一次,多因子认证呢?
4、为什么具备eBay这样资源的组织需要花上三个月来发现数据被不当存取过,更不用说还被窃走?入侵外泄侦测系统在哪里?
5、我们的密码是怎样“加密”的?我们想要细节。我们想知道是用哪种算法以及是如何加料(Salted)的。我们想知道我们的密码会被暴力破解的实际机率,这样我们才能准确的评估我们的受害程度,并提供实用的建议给别人。
另外,一开始的账号被攻击是怎么发生的,你要如何确保这不会再发生?
有效的安全性已经不再是想要去设计出可以永久阻绝攻击的架构了,这只是痴人说梦而已。如果他们想进入,他们就会做到。有效的安全性是接受可能被攻击的现实,将系统和流程整合以让你可以及时发现和反应,关键是,你要让攻击者极难带走他们原本想要的目标。你又是怎么做的呢?
你在新闻声明结尾中提到:“相同的密码绝对不要在不同网站或账号上使用”。我们同意。我们要以此来结束“声明”。
敏感数据,尤其是你被信任而持有的数据,都应该要加密,没有例外。
噢!还有,如果你发出提供链接来让我们点入以变更密码的电子邮件。那你就永远地从我们进行圣诞购物的选择中除名了。
扫一扫
322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
