T.S.Twitter 公司內部文件遭駭客入侵,雲端運算的安全性也因而受到質疑。不過,Google 也希望藉此鼓勵使用者更新設定,以加強資料安全防護。
Twitter 公司企業內部文件遭駭客竊取,此事於本週三為某科技部落格所披露。該名駭客入侵 Twitter 公司行政人員電子郵件信箱,並進入其 Google Apps 帳戶。 Twitter 共同創辦人與創意總監 Biz Stone 已線上追蹤入侵來源,希望找出這名駭客。
Stone 也提到了 Google 在整起事件中所扮演的角色;他表示,從目前的種種跡象顯示,相信經由 Twitter 這位員工的 Google Apps 帳號,該名駭客將可取得所有相關資訊,包括文件、行軌曆以及其他 Twitter 透過 Google Apps 功能進行的記事分享、試算表、創意、財金資料,同時還有不少公司內部資訊。
這名駭客宣稱,許多 Twitter 的使用者樂於在網路上分享其生活,包括自己的家鄉、興趣,以至於是寵物的名字,也都毫不保留地呈現在網路上,要猜出密碼並不困難。而他不但猜到這位 Twitter 員工的安全提問,並重設其密碼。於是,在入侵 Twitter 員工的電子郵件信箱之後,便可藉此登入其所使用之 Google Apps 服務如 Docs 、行事曆等。
雖然 Stone 澄清這次的攻擊與 Google Apps 的安全弱點無關,亦即此漏洞並未對線上應用軟體造成其他深入傷害。不過,這次事件仍然提醒大家應重新正視雲端服務的資訊安全問題。
身為 Twitter 投資人,創投業者 Union Square Ventures 公司合夥人 Albert Wenger 在其部落格中指出,透過這次的駭客入侵事件,以帳號/密碼做為登入授權唯一依據之作法的缺點已顯露無疑。他主張諸如 Google 與微軟 (Microsoft) 等線上服務業者,應採用雙因素認證架構如透過簡訊服務或更進一步與行動電話授權應用結合來處理。
在微軟系統上層出不窮的資安問題,Google 已經親眼見識過,而為了把這次事情對於雲端運算應用與服務所造成的傷害降到最低,該公司也積極尋求解決之道。
Google 工程師 Macduff Hughes 在部落格中表示,針對現在大家在討論的線上服務帳號安全問題,該公司很樂於分享其看法與遠景規劃。
針對駭客宣稱 Twitter 之服務有很大的漏洞-只需要回答一個簡單的問題,便能夠重設使用者密碼,Hughes 對此說明指出,Gmail 的密碼設定與恢復流程較其他線上服務更為複雜。舉例來看,Google 最近新增加了行動電話接收密碼回復授權提示功能,便是希望強化密碼授權的安全性。該公司同時也讓使用者可以透過另一組電子郵件信箱,來確認密碼修改的動作。
Hughes 表示,如果使用者想要重設密碼,該公司只會依照使用者所提供的資料,將新密碼重新寄送至其當初申請帳號時所提供的另一個電子郵件信箱。
此外,Gmail 也允許使用者可以看到其帳號上次登入的 IP 位址與時間,這將可能有助於使用者分辨是否曾遭非法登入。
Google 並不允許 Google Apps 使用者重設密碼,除非先通過 Google Apps 管理人員的許可。而自 2006 年以來,Google Apps 已可支援採取雙因素認證的 SAML 單次簽入功能。
然而,這些工具或許很有用,但首先還得使用者願意採用。
網路安全業者 nCircle 安全營運主管 Andrew Storms 指出,我們不得不承認,當前資訊人員的個人與工作生活已經是難以區分為二的,但也正因如此,倘若在臉書 (Facebook) 頁面上顯示寵物的名字,便可能讓駭客有機可乘,取得使用者密碼。
Storms 主張,企業主應該更認真教育員工如何安全使用電腦。同時也提到,公司有必要加速負起責任,決定如何妥善儲存線上服務資料。
趨勢科技網站研究經理 Janz Yaneza 指出,Twitter 這次遭駭客入侵事件,明顯是缺乏對於使用者帳號的妥善管理。他建議,業者應建立一套防止系統資料外洩的防護機制,而每個使用者也應該在把個人資料放到社交群站時,先三思而後行。