日報

駭客新招:無需密碼即可獲取雲端資料

刊登於 2015-08-08

谷歌雲端硬碟攝 : 盧翊銘/端傳媒
谷歌雲端硬碟

資料安全公司報告顯示,駭客已經無需密碼就能獲取用戶在 Google Drive、Dropbox、微軟 OneDrive 及其它雲端存儲平台的資料了。這份報告由資料安全公司Imperva在近日的全球黑帽駭客大會(Black Hat Conference)上公布,報告指這個最新的駭客手段名為「雲端中間人」(man-in-the-cloud, MITC),能輕易進入各大雲端存取應用的漏洞,冒充用戶帳號,且神不知鬼不覺,目前並沒有有效的檢測與預防手段。由於該技術不通過密碼駭入,因此常用的修改密碼方法也不會起效。

這些應用在給用戶(Google Drive、DropBox等)提供極大便利的同時,也爲黑客入侵命令與控制結構提供了理想的平台。

資料安全公司Imperva

「雲端中間人」的攻擊方式不同於以往,它利用的是雲端服務的同步化機制。由於提供同步服務的雲端應用會給用戶的各個裝置授予「同步化授權」,駭客就可以利用該授權來完成用戶身份驗證,成功冒充用戶同步、複製、變更、新增或刪除資料,甚至植入木馬。這種「同步化授權」和每個裝置都綁定在一起,只要通過一種「切換器」工具就可以獲取。由於這種工具只修改了電腦的極少設定,攻擊即使在事後也很難被偵測到。換言之,每個被攻擊過的人都可能難以察覺自己的資料被盜取或變更。

由於雲端服務的便利性,越來越多的企業與個人將其視為重要的資料存儲與共享平台。但安全性存疑的雲端服務也在近年成為了駭客攻擊的重要目標。2015年5月和7月已有類似攻擊手段被發現。發現「雲端中間人」技術的資料安全公司Imperva技術總監Amichai Shulman表達了對此的擔憂,認為谷歌與微軟等雲端服務供應商應該正視安全漏洞,儘快找出解決方案。但Google Drive與Dropbox部門都拒絕回應。

5.74
據《財富》雜誌統計,2014年Google Drive、DropBox和微軟OneDrive已有將近5.74億用戶。

聲音

我們的研究揭示了網絡犯罪要通過線上同步獲取內容是多麼容易,而我們要發現與修復這種攻擊又是多麼的困難。

資料安全公司Imperva 技術總監Amichai Shulman

谷歌作為一個大公司,出現如此嚴重的安全漏洞,應該道歉和負責。

網友@Y小Z

雲端儲存

雲端儲存是一種網絡線上儲存的模式,即把數據存放在通常由第三方代管的多台虛擬伺服器,而非專屬的伺服器上。代管(Hosting)公司營運大型的數據中心,需要數據儲存代管的人,則透過向其購買或租賃儲存空間的方式,來滿足數據儲存的需求。數據中心營運商根據客戶的需求,在後端準備儲存虛擬化的資源,並將其以儲存資源池(Storage Pool)的方式提供,客戶便可自行使用此儲存資源池來存放檔案或物件。(資料來自維基百科)

來源:iThomeZDNetFirst PosteSecurity Planet

本刊載內容版權為端傳媒或相關單位所有,未經端傳媒編輯部授權,請勿轉載或複製,否則即為侵權。