無賴性笑話 27 May 2007 08:05 pm
|
推到 Twitter!
推到 Plurk!
|
合併服務所帶來的帳號關閉新風險
呼,各位應該有注意到,筆者最近又開始在狂拖稿了。其實不是沒有 JOKE 可以寫,而是因為NDS 大作「應援團2」 在 5/16 上市。所以…XD 。前幾天,筆者終於把激烈 STAGE 的拯救地球關破了,所以才又開始…XD。
好吧,回到正題。會寫這篇文章的誘因是,這個月看到的台灣兩篇有關於 Flickr 引起的 yahoo 帳戶關閉抱怨文。以及一個讀者內線爆料:丁丁大站與其母公司已經開始寫好了整合帳號的機制流程,正在進行測試中…
這兩篇抱怨文分別是:
工頭堅的 不怎麼2.0的一天:Flickr, Twitter, Jaiku
Bluena009 的 我的flickr被盜用,美國Yahoo鎖住整個帳戶…..
兩位朋友最後的下場都是帳號在不久後被盜用,盜用後的帳號被不法份子濫用,跟著 yahoo 帳號隨即被停止使用。即使經過帳號本人不斷的與 yahoo 公司申訴(是的,向美國總公司!台灣沒有權限處理)。仍然無法把帳號取回。對工頭損失比較慘重的應該是從此只能再對這些照片乾瞪眼。而 bluena009 則是跟 flickr 服務綁住的長久聯繫用 yahoo 帳號內所有信件資料,完全泡湯。
雖然筆者跟工頭本人聯繫過後,得知個騙他的惡魔小女孩留言在當下已經被砍,在這篇文中缺乏例圖可以提醒大家注意。
不過筆者卻可從他們這兩天 blog 文清晰的描述,大略的知道它們遇上什麼手法的詐騙。
不知道各位還記不記得筆者在去年年底寫過的一篇文章「web 2.0 演伸出的網路安全問題」。(PDF 下載)
當中提到現在最為流行,也是最常用被用來針對網站漏洞設計的一種攻擊手法 XSS ( Cross Site Scripting)。
通常駭客們會怎麼進行實做呢?
再看看工頭 Blog 文的敘述:
惱人的是,在我flickr的某張照片下方看到一則長長的英文留言,大意是「我和我先生很喜歡你的相片,﹝中略﹞…這裡有個禮物想要送給你,請按此連結。」我沒防備地點了過去,要求再登入一次帳號,然後連到一張莫名其妙的小女生相片﹝還好不是什麼靈異或噁心的圖片﹞;等我再點回自己的相簿時,赫然發現自己的頭像和第一頁相片的標題描述都亂掉了。
恰巧符合兩大特徵:
- 社交工程法詐騙點擊,騙取個人資訊或者是 cookie / password。
- 頁面的輸出畫面可能被破壞。
(註:何謂社交工程法?簡單的說,電話詐騙集團那一套就是社交工程法,這樣解釋有沒有很清楚 XD )
Flickr 尚是 Programming 功力較強的站台,筆者一個朋友,上次才在抱怨,他好不容易才測到 Flickr 有個 XSS 漏洞,正想多研究一下,沒想到一兩天之內竟然就被補好了。而在以往我們的認知上,網路帳號被盜用,通常只要向原公司出具本人證明,就能要回帳號,就算資料外洩,也只是在這個站的事。
只是這次的 Flickr 被盜用導致整個 Yahoo Account 被鎖事件,卻讓筆者意識到了在併購趨勢下,將來可能會發生的一場大風波。
單服務被破,所有服務被停用
在 Flickr 帳號未被合併至前,帳號有問題只要向 Flickr 單向溝通就好,被鎖的服務也僅只侷限於相簿。但被合併進啞唬後,Flickr 被盜用,將面臨的是整個帳號所有的服務都會被鎖定。在台灣,因為啞唬當初併購的策略是買下奇摩整個入口站。因此台灣高達 90% 以上的人幾乎都有該站帳號,甚至使用該站的服務做為個人長期對外的聯絡管道(聯絡信箱、線上通訊軟體帳號、註冊網站認證 email address )。
被併購的網站技術能力太差,成為大漏洞
Flickr 尚是被併購網站技術能力較強的,有洞還有辦法馬上補。而丁丁大站眾人皆知程式功力弱到爆,1月就被警告的 XSS 漏洞,遲至 11 月資料都已大幅外洩被爆料,才對外宣稱被破當時當時還與駭客進行網路攻防戰,並僅有 13 筆資料外洩(對岸 Hacker 戲稱應該是 13 萬筆 XD)。較有技術能力的國內外 Hacker,都知道丁丁因為能力差算是很好破的,補洞速度也慢。
一旦雙方帳號合併,除了到時候不知道會不會因為服務重疊的問題,重新上演「樂蕃天」事件。丁丁也會馬上變成眾人眼中的大肥肉,屆時你願意因為丁丁帳號被破,長久使用的啞唬帳號也一併淪陷,幾乎求助無門嗎?
相關閱讀:
xdite :「web 2.0 演伸出的網路安全問題」。
xdite : 「Web 2.0 時代的資安隱憂」。
—–
只是想到,並不是特意。
順便幫 HIT 2007 廣告一下,今年 Hacks In Taiwan Conference 2007 將在 7/21 7/22 於 國立臺灣科技大學 公館校區舉辦,歡迎投稿與參加,謝謝。
This
work is licensed under a
Creative Commons Attribution-Share Alike 2.5 Taiwan License.
[本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]
10 Responses to “合併服務所帶來的帳號關閉新風險”
on 27 May 2007 at 9:27 pm 1.ybite said …
我找到詐騙的Comment內容了
取自http://www.flickr.com/photos/ajhaverkamp/486066708的Google Cache
這裡是張圖:
http://www.flickr.com/photos/ybite/516049303/
還有人做了三部曲全圖:
http://www.flickr.com/photos/visceralpleasures/486115454/in/photostream/
http://www.flickr.com/photos/visceralpleasures/486115452/in/photostream/
http://www.flickr.com/photos/visceralpleasures/486115446/in/photostream/
on 27 May 2007 at 10:10 pm 2.xdite said …
剛剛 irc 上朋友跟我說。
也有可能是被其他另外兩種情形打下。
釣魚以及網馬。
釣魚就是用假網頁詐騙。
網馬就是網頁有 IE 漏洞 …,也是騙點擊之後中獎
on 27 May 2007 at 10:36 pm 3.CornGuo said …
啊啊,其實台灣有很多企業網站的服務更糟糕呢,
越是了解這一類的知識,就越覺得未來應該會有更多好戲可看 (誤)
on 27 May 2007 at 11:18 pm 4.s3p said …
> 單服務被破,所有服務被停用
這個啊, 我前陣子才被偉大的 hinet 這樣子整過呢… (略)
on 27 May 2007 at 11:39 pm 5.andytn said …
居然是因為打Game拖稿XD
這種釣魚網頁還蠻恐怖的,再有防心的有時還是會不小心中
on 27 May 2007 at 11:52 pm 6.OOO said …
華麗應援還沒打完就跑上來了XD。
on 28 May 2007 at 12:32 am 7.CornGuo's BLOG said …
使用者是笨的,聰明的是駭客.. 吧?…
本篇文章與學名為「無名小站」,
或是俗名為「有名大站」、「丁丁大站」的網站無關,
如果想看該站相關消息,請洽 XDite 或是 Google。
因為跟書櫃還有一堆郵票奮戰的關係,
今天睡醒的…..
on 28 May 2007 at 1:02 am 8.Ben Crox on Blog » 提防一日冚包散 said …
[...] : XDite :: 合併服務所帶來的帳號關閉新風險 Jacky :: TSW (鄧小樺) 的 blog [...]
on 28 May 2007 at 11:12 pm 9.今日連結 (2007-05-28) [JeffHung.Blog] said …
[...] 合併服務所帶來的帳號關閉新風險 [...]
on 07 Jul 2007 at 11:43 am 10.S. Peter said …
雖然是老文,但是……
最近在丁丁大站留言時,發現只要有網址在內文內就會被擋而失敗,就算去掉開頭的「http://」,網址太長也可能會被擋。該不會是丁丁大站直接開內容審查,擋下所有可能會掀翻他們的留言與文章吧?那用英文留言的人不就甭玩了?