美國知名怪獸人力公司捅出資料安全大漏洞謝至恩/編譯報導2009/01/27 下午4:16
http://news.networkmagazine.com.t...9/01/27/10279/
那些到怪獸人力公司的求職者除了已經丟掉工作之外,如今可能連個人隱私資料都被網路竊賊給偷走。
上星期五怪獸人力公司(
Monster.com)表示網路竊賊攻破他們的資料庫,偷走所有的聯絡人與帳號資料,包括使用者編號、密碼、電子郵件地址、姓名、電話及各種統計資料。目前清查出遭竊資料還包括生日、性別、種族等等,甚至某些使用者的住所資料也遭到流出。
另一個由政府部門成立,提供聯邦政府職缺的USAJobs.gov網站,因為由Monster.com提供技術支援,也提出相同的警告。
Monster.com發言人拒絕提供有多少帳號受到影響的數據,有可能每位Monster.com用戶都受到影響,她表示Monster.com的會員數量是商業機密,不宜透漏,是否意味著公佈受到影響的用戶數就等於公佈所有的會員數量。
另一項可證明大部分的Monster.com會員都受到影響的證據,是該公司在網站上貼出公告,提醒所有使用者該資料漏洞的狀況,而非個別寄信通知。「我們認為告知所有使用者是比較慎重的作法。」發言人補充表示使用Jobpilot的美國海外求職者,不受到該資料漏洞的影響。
同時,發言人又表示不選擇個別寄信通知使用者的原因,是因為每個受害帳號的狀況不一,因此無法製作統一的信件範本寄給每個人。而這起事件之所以會引起公眾恐慌,是因為資料竊賊透過從Monster.com竊取來的片段資料,透過社交工程,仍能夠針對特定帳號補齊所有想要知道的資訊。
Monster.com資深副總兼全球隱私長Patrick Manzo,表示該竊賊無法存取儲存在網站上的履歷資料,也沒有偷到其他敏感資訊如社會安全碼或財務資料,因為Monster.com並不蒐集這方面的個人資訊。
「Monster.com從該事件中學到教訓,立刻啟動補強修正程序,」Patrick Manzo在聲明稿中表示:「本公司也不斷持續監視任何非法使用資料庫的活動。再者,目前並沒有看到遭竊資料被濫用的情況。」
該公司最近一次啟動安全修正程序的紀錄是2007年8月,是因為遭到知名惡意軟體Infostealer.Monsters的攻擊導致130萬筆帳號聯絡資料遭到竊取,該公司承諾「將啟動數項新系統與程序保障資料安全,加強現有的安全措施,將發生資料安全威脅的可能性降至最低。」
2個月後,所謂的新系統與程序結果被植入iFrame木馬的Monster.com網頁破功,該內嵌網頁(iFrame)試圖將Monster.com的造訪者重新導引至惡意網站。
Monster.com與USAJobs建議帳號使用者儘速更改密碼,並且很快將強制所有使用者更換密碼。Monster.com發言人表示目前正與司法部門合作,調查該資料洩密案件。
