2012年10月5日 星期五

駭客入侵全球百所大學 公布120萬筆個資


駭客入侵全球百所大學 公布120萬筆個資

遭入侵的伺服器可能遭受典型的資料隱碼(SQL Injection)攻擊而導致資料外洩,且遭攻擊的伺服器都位於分支機構,遭入侵大學的中央網路系統可能都未被入侵。這也凸顯大學資安維護的困境,因學術自由等因素,無法執行嚴格、統一的資安政策。 

駭客團體GhostShell首領DeadMellox透過Twitter宣布,名為「西風計畫」(Project WestWind)的新一波攻擊行動已經入侵全球百所大學,並將120萬筆資料公開給大眾下載,但未公布總共取得多少資料。

駭客宣稱他們公開的資料是比較不會造成傷害的,而且僅佔所有資料的一部分。表表示,他們入侵時發現許多伺服器早就藏有惡意軟體,其他駭客可能是為了信用卡資訊而來。而西風專案的目的旨在提高大眾注重教育問題,並指責學費、教育政策等大學教育的相關問題。

資安公司Identity Finde分析駭客的資料發現,這些資料含有3.6萬筆電子郵件帳號,大約一萬筆資料包含姓名、電話、地址、生日、婚姻狀態、種族等等,不過並沒有信用卡、身分證字號、銀行帳號等敏感個資。部分帳號的密碼仍為Hash加密狀態,但大部分的密碼為明碼方式呈現。

該公司認為遭入侵的伺服器可能遭受典型的資料隱碼(SQL Injection)攻擊而導致資料外洩,且遭攻擊的伺服器都位於分支機構,所以遭入侵大學的中央網路系統可能都未被入侵。不過這也凸顯大學資安維護的困境,因學術自由等因素,無法執行嚴格、統一的資安政策。

在駭客所公布的大學伺服器中包含了許多名校,如哈佛、劍橋、史丹福都名列其中。其中史丹福大學已向媒體承認有兩個部門的網站被入侵,約翰霍普金斯大學的資訊部門則還在驗證是否如駭客所言有五部伺服器遭入侵。其他受害的大學還包含德州大學、紐約大學,瑞士的蘇黎世大學、日本東京大學、義大利羅馬大學等。

GhostShell是美國知名駭客團體Anonymous的分支之一,名稱與日本知名科幻動畫攻殼機動隊相同。八月下旬該團體曾經公布地獄火計畫(Project Hellfire),宣稱該波攻擊入侵了全球上百個政府機構及銀行組織,公開的資料上達百萬筆,包含美國中央情報局及華爾街等單位。(編譯/沈經)

轉載自《iThome》

沒有留言:

張貼留言