12 月
22
2005

Yahoo交友頻道有漏洞 密碼容易遭竊取

在安全專家發現入侵會員帳號的方法後,Yahoo準備強化其交友網站的安全管理。

主要的問題是Yahoo Personal的廣告內含重要個人資料的線索 – 如生日和郵遞區號,會員也可用這些資料重設密碼。若有心人取得這些資料,唯一能阻擋密碼遭變更或帳戶被盜用的防線,只剩會員自設的秘密問題,如「你的寵物名?」、「你的消遣娛樂為何?」和「你最愛哪一個運動團體?」等。

發現這項漏洞的自由程式設計師和網路言論自由擁護者Bennett Haselton表示,在現今即時訊息和電郵盛行的時代,只要一點社交技巧就能取得這些問題的答案。他說:「這種事情你提出來也不會引發他們的疑心。」

這項弱點的風險等級不高,因其需要超過一般性入侵的技巧,就算成功可能也無利可圖。Yahoo Personal的會員資料頁不含信用卡號,或其他可用來謀財的資料。事實上,大多數會員都使用別名,進一步隱藏自己的真實身份。電腦安全公司SPI Dynamics資深研究工程師Sacha Faust表示:「實際進入那些帳號需要大量的時間和精力。」

但Yahoo仍在CNET News.com通報後,決定補救該問題。該公司發言人Mary Osaka以聲明表示:「Yahoo非常重視安全,並採取嚴格的措施保護我們的使用者。獲知這個問題後,我們立即開始研究數項改進方法,其中若干已經執行。」

具體而言,Yahoo計畫更改會員年齡範疇的更新方式,目前的方式讓駭客很容易猜出會員的生日,有可能造成密碼被重設。郵遞區號也有同樣的風險。Haselton指出,駭客有可能製作一個自動系統監看網站,找尋可用的線索。

雖然看似輕微,該問題卻暴露出網站設計脫節的問題。Haselton說:「密碼重設功能假設你的生日和郵遞區號是半隱密的資料;個人廣告功能卻不這麼認為。」Yahoo將採每月更新年齡範疇的方式,模糊生日資料。

Yahoo也將把「寵物名字」從秘密問題的首選移除,因其防衛功效欠佳。最著名的例子是社交名媛Paris Hilton的手機今年稍早被駭,據報該名駭客就是利用她曾公開的寵物狗名字Tinkerbell。

但就算不是名流,一般人對這些問題的答案也不太設防,或者很容易向潛在的約會對象透露。Faust表示:「(網路)業者需要修改這部分,問一些比較難的問題。許多人使用簡單的答案,方便記住的東西。然後,就容易遭受這些不起眼的社交攻擊。」

Comments are closed.