档案共享服务 MEGA 爆使用者个资外泄,帐号密码和档案名称全部被看光
新闻连结:https://goo.gl/1FgfzE
有在网络上上传或下载过资源的使用者们,一定或多或少都有听过、或是用过 MEGA 这个
网络云端空间服务。
这个号称史上最佛心的网络云端空间服务,免费使用、高速上传与下载,免费大容量的档
案寄放,已经成为许多人在网络分享大型档案或资源时,首选的服务之一。
然而,现在却爆出,网络上正流传着一份清单,里面记载着许多 MEGA 使用者的帐号、密
码,以及所持有的档案。
资安研究人员:约 1.5 万笔帐号资料,几乎都是真的可登入
来自 Digital Security 的研究人员,在六月的时候发现网络上正流传着一份清单,里面
记载了许多 MEGA 使用者的帐号密码、帐户状态以及所持有的档案名称等关键资讯。
在经过研究人员进一步的测试后,发现清单中约有 1.5 万份的使用者资料,而且大部分
都是处于有效、可登入使用的状态。
MEGA 的网络服务原先为 MEGAUPLOAD,强调的是免费、大容量与高隐私度分享的档案共享
平台,由于上述的特性,该网站也成为了许多使用者分享有版权疑虑、或是私密大型档案
的首选。后来,该网站遭到美国 FBI 查封 ,几位创办人于是乎重起炉灶, 开设了
MEGA 服务 ,并且为了避免被抓, 加强了加密安全性等措施 。
而如今,这份 MEGA 使用者资讯的清单外传,将有可能让那些档案本身有疑虑的使用者们
陷入危险。
透过其他外泄网站资料,交叉比对测试而来
但 Digital Security 的研究人员也指出,这很可能并不是 MEGA 的锅。
根据研究人员的进一步研究发现,这些被记录下来的帐号资讯中,约有八成以上,都已经
有出现在近年其他使用者资料外泄事件的数据库之中,而在更仔细的验证之后,也发现纪
录于这份 MEGA 使用者清单中的资讯,有部分使用者的密码虽然于 MEGA 中无法使用,但
却可以用于登入该使用者于其他网站的服务。
研究人员因此判断,这份清单应该是有骇客或是团体组织,在蒐集了近年其他服务外泄的
数据库后,逐一尝试登入 MEGA 网站,在成功登入后便记录下该使用者持有的档案,并记
录下来。
目前,研究人员尚未得知是谁,或是为什么制作了这份清单,但可以合理推论,此次清单
的出现,应该并不是 MEGA 的数据库出现漏洞所致。
MEAG:近期将新增二阶段验证
不过,这也不表示 MEGA 就是完全的受害者。
Digital Security 研究人员指出,MEGA 网站现阶段仍然只有支援帐号密码直接登入的机
制,因此给予骇客可趁之机,能够手动测试手上的资料是否可用,且也没有其他的登入异
常警报、或是密码错误警告,若是 MEGA 可以在这方面加强设计,理应可避免此次的事件
。
对此,MEGA 官方也于稍晚做出回应,表示经过检查,MEGA 的服务器并没有出现漏洞或是
异常攻击,而虽然没有确定的时间点,但 MEGA 近期正在积极测试,并且会在最近上线一
套二阶段验证系统,希望可以借此帮助有需要的使用者加强帐号安全性。
更换密码
那么,在 MEGA 完成相关的设定之前,有没有其他是我们使用者自己可以先执行的呢?
有的,那就是尽速更改密码,并且要特别注意,请更改为一组从来没有在任何其他网站使
用过的密码,因为此次事件之所以会发生,就是因为有使用者贪图方便,在不同的网站设
立了相同的密码所导致。
如果对于自己帐户有疑虑的使用者们,赶快去更改密码,并且确认自己的档案都还正常吧
。