看板 Practice
作者 標題 [科技] 檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光 #資安
時間 2018-07-17 Tue. 13:42:16
檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光
Posted on 2018/07/17 林厚勳 Henry
有在網路上上傳或下載過資源的使用者們,一定或多或少都有聽過、或是用過 MEGA 這個網路雲端空間服務。
這個號稱史上最佛心的網路雲端空間服務,免費使用、高速上傳與下載,免費大容量的檔案寄放,已經成為許多人在網路分享大型檔案或資源時,首選的服務之一。
然而,現在卻爆出,網路上正流傳著一份清單,裡面記載著許多 MEGA 使用者的帳號、密碼,以及所持有的檔案。
資安研究人員:約 1.5 萬筆帳號資料,幾乎都是真的可登入
來自 Digital Security 的研究人員,在六月的時候發現網路上正流傳著一份清單,裡面記載了許多 MEGA 使用者的帳號密碼、帳戶狀態以及所持有的檔案名稱等關鍵資訊。
在經過研究人員進一步的測試後,發現清單中約有 1.5 萬份的使用者資料,而且大部分都是處於有效、可登入使用的狀態。
MEGA 的網路服務原先為 MEGAUPLOAD,強調的是免費、大容量與高隱私度分享的檔案共享平台,由於上述的特性,該網站也成為了許多使用者分享有版權疑慮、或是私密大型檔案的首選。後來,該網站遭到美國 FBI 查封 ,幾位創辦人於是乎重起爐灶, 開設了 MEGA 服務 ,並且為了避免被抓, 加強了加密安全性等措施 。
而如今,這份 MEGA 使用者資訊的清單外傳,將有可能讓那些檔案本身有疑慮的使用者們陷入危險。
透過其他外洩網站資料,交叉比對測試而來
但 Digital Security 的研究人員也指出,這很可能並不是 MEGA 的鍋。
根據研究人員的進一步研究發現,這些被記錄下來的帳號資訊中,約有八成以上,都已經有出現在近年其他使用者資料外洩事件的資料庫之中,而在更仔細的驗證之後,也發現紀錄於這份 MEGA 使用者清單中的資訊,有部分使用者的密碼雖然於 MEGA 中無法使用,但卻可以用於登入該使用者於其他網站的服務。
研究人員因此判斷,這份清單應該是有駭客或是團體組織,在蒐集了近年其他服務外洩的資料庫後,逐一嘗試登入 MEGA 網站,在成功登入後便記錄下該使用者持有的檔案,並記錄下來。
目前,研究人員尚未得知是誰,或是為什麼製作了這份清單,但可以合理推論,此次清單的出現,應該並不是 MEGA 的資料庫出現漏洞所致。
MEAG:近期將新增二階段驗證
不過,這也不表示 MEGA 就是完全的受害者。
Digital Security 研究人員指出,MEGA 網站現階段仍然只有支援帳號密碼直接登入的機制,因此給予駭客可趁之機,能夠手動測試手上的資料是否可用,且也沒有其他的登入異常警報、或是密碼錯誤警告,若是 MEGA 可以在這方面加強設計,理應可避免此次的事件。
對此,MEGA 官方也於稍晚做出回應,表示經過檢查,MEGA 的伺服器並沒有出現漏洞或是異常攻擊,而雖然沒有確定的時間點,但 MEGA 近期正在積極測試,並且會在最近上線一套二階段驗證系統,希望可以藉此幫助有需要的使用者加強帳號安全性。
更換密碼
那麼,在 MEGA 完成相關的設定之前,有沒有其他是我們使用者自己可以先執行的呢?
有的,那就是盡速更改密碼,並且要特別注意,請更改為一組從來沒有在任何其他網站使用過的密碼,因為此次事件之所以會發生,就是因為有使用者貪圖方便,在不同的網站設立了相同的密碼所導致。
如果對於自己帳戶有疑慮的使用者們,趕快去更改密碼,並且確認自己的檔案都還正常吧。
https://buzzorange.com/techorange/2018/07/17/mega-user-id-and-password-data-leaked/
--
※ 作者: DrPlague 時間: 2018-07-17 13:42:16
※ 看板: Practice 文章推薦值: 0 目前人氣: 0 累積人氣: 109
回列表(←)
分享