2012年9月30日 星期日

IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料


IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料

將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,產生之緩衝檔案與日誌檔案容量高達100GB。

哥本哈根大學助教Radu Dragusin發現,電機電子工程師學會(IEEE,Institute of Electrical and Electronics Engineers)網站將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,約為全體會員數目41.1萬的24%。

Radu Dragusin表示,這些資料至少在一個月前就已經設定錯誤,在發現錯誤並修正之前,任何人都可以隨意抓取相關檔案,期間該網站網頁伺服器回應3.76億次連結請求,產生之緩衝檔案與日誌檔案容量高達100GB。

網站日誌檔案內含有使用者的帳號與密碼資料及活動記錄,而且這些記錄都是以明碼方式儲存。由於許多人在不同網站使用相同的帳號與密碼,因此這些資料可能導致其他網站資料被竊。一般而言,網站會在數種開放源碼的加密技術中挑選一種來保護帳號、密碼這些重要資料

目前雖然沒有任何證據顯示這些資料已經外洩,但仍無法排除在設定修正之前,駭客已經發現可以隨意取走這些資料。

IEEE會員主要為全球各大科技機構的研發人員,目前已知蘋果、Google、IBM、Oracle、三星、史丹佛大學等單位的員工都在此次可能外洩資料的範圍內,這些使用者的帳號與密碼都可能已經外洩,而且還包含這些使用者在ieee.org與spectrum.ieee.org兩個網站的活動記錄,也包含部分美國專利商標局及IEEE等網域的電子郵件往來記錄。

Radu Dragusin也針對用戶所使用的密碼做統計,發現123456這個密碼使用頻率最高,為271次,之後依序為ieee2012共270次、12345678共246次、123456789共109次。

IEEE透過電子郵件發表聲明,表示該協會已經發現網站日誌檔案設定錯誤及使用明碼記錄帳號、密碼等問題,將徹底調查並加以修正。該協會重視並維護用戶隱私,會通知受影響的用戶,並對此事件對會員及客戶的影響表示致歉。(編譯/沈經)

轉載自《iThome》