2013年9月23日 星期一

淺談「Yahoo45萬筆帳號外洩」

據〔iThome 2012-07-16〕報導:「Yahoo上周五(7/13宣布已修補上周三(7/11)遭駭客組織用以入侵網站伺服器而導致資料外洩的網站漏洞。名為D33Ds的駭客公司上周公布了逾45萬筆自Yahoo伺服器取得的帳號與密碼,Yahoo表示,這些外洩的資訊是在20105月以前加入 Associated Content的作家所提供的,Yahoo隨後併購Associated Content並更名為Yahoo! Contributor NetworkYahoo強調,所外洩的個人資訊是老舊的檔案,只有5%Yahoo帳號密碼是有效的,而且被竊的檔案屬於獨立檔案,並非用來存取Yahoo系統或服務的。」See moreSee more

 

這個案例並無法證明Yahoo的資安管理,像某些資安業者所批評的那樣不堪:「資安業者批評,如果集結專業人士帳號的Yahoo Voices都這麼容易被駭,那麼Yahoo的其他服務似乎也岌岌可危。」

 

相反地,我認為這是個案,而且Yahoo對這個事件的處理還不錯。在事件發生後,Yahoo在兩天內,修補了導致資料外洩的漏洞,變更受影響的使用者密碼,並知會其他被波及的業者。但這確實是資安事件,而且對Yahoo造成了負面影響。

 

我認為,造成這個資安事件的原始原因,是Yahoo在企業購併管理方面出了問題。

 

Yahoo購併了Associated Content並更名為Yahoo! Contributor Network,冠上了Yahoo的招牌,卻沒有對從Associated Content轉移過來的資產進行徹底、正確的審查,以致於這個被視為獨立、老舊的檔案,沒有被Yahoo在資安方面的政策和標準所涵蓋。

 

這產生了漏洞,而此漏洞在兩年後,終於被一個駭客組織發現並且輕易予以破解,然後對外公布,以提升其在駭客社群的地位。

 

Yahoo不能怪這個駭客組織,要怪就要怪自己,為什麼要忽視一個在生產環境中的檔案。事實證明,不管一個檔案是多麼的獨立、老舊而且不重要,只要它還在你的生產環境中,你就要加以保護,否則它早晚會出問題,而使用者和市場會把這筆帳算在你頭上,逃都逃不掉。

 

這個案例告訴我們,只要是在我們的生產環境中的資產,不管是自己開發的、買來的、租來的、購併來的、老舊系統遺留下來的,不管我們認為重不重要,全都要適當地加以保護,否則它早晚會出問題,讓你後悔莫及。

 

《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》

 

龍山顧問是ICT管理專業服務公司,服務項目包含ICT管理的出版、訓練、診斷和輔導,詳情請參考龍山顧問公司網站:http://www.longshine.tw/

沒有留言:

張貼留言