美国知名怪兽人力公司捅出资料安全大漏洞谢至恩/编译报导2009/01/27 下午4:16
http://news.networkmagazine.com.t...9/01/27/10279/ 那些到怪兽人力公司的求职者除了已经丢掉工作之外,如今可能连个人隐私资料都被网路窃贼给偷走。
上星期五怪兽人力公司(
Monster.com)表示网路窃贼攻破他们的资料库,偷走所有的联络人与帐号资料,包括使用者编号、密码、电子邮件地址、姓名、电话及各种统计资料。目前清查出遭窃资料还包括生日、性别、种族等等,甚至某些使用者的住所资料也遭到流出。
另一个由政府部门成立,提供联邦政府职缺的USAJobs.gov网站,因为由Monster.com提供技术支援,也提出相同的警告。
Monster.com发言人拒绝提供有多少帐号受到影响的数据,有可能每位Monster.com用户都受到影响,她表示Monster.com的会员数量是商业机密,不宜透漏,是否意味着公布受到影响的用户数就等于公布所有的会员数量。
另一项可证明大部分的Monster.com会员都受到影响的证据,是该公司在网站上贴出公告,提醒所有使用者该资料漏洞的状况,而非个别寄信通知。「我们认为告知所有使用者是比较慎重的作法。」发言人补充表示使用Jobpilot的美国海外求职者,不受到该资料漏洞的影响。
同时,发言人又表示不选择个别寄信通知使用者的原因,是因为每个受害帐号的状况不一,因此无法制作统一的信件范本寄给每个人。而这起事件之所以会引起公众恐慌,是因为资料窃贼透过从Monster.com窃取来的片段资料,透过社交工程,仍能够针对特定帐号补齐所有想要知道的资讯。
Monster.com资深副总兼全球隐私长Patrick Manzo,表示该窃贼无法存取储存在网站上的履历资料,也没有偷到其他敏感资讯如社会安全码或财务资料,因为Monster.com并不搜集这方面的个人资讯。
「Monster.com从该事件中学到教训,立刻启动补强修正程序,」Patrick Manzo在声明稿中表示:「本公司也不断持续监视任何非法使用资料库的活动。再者,目前并没有看到遭窃资料被滥用的情况。」
该公司最近一次启动安全修正程序的纪录是2007年8月,是因为遭到知名恶意软体Infostealer.Monsters的攻击导致130万笔帐号联络资料遭到窃取,该公司承诺「将启动数项新系统与程序保障资料安全,加强现有的安全措施,将发生资料安全威胁的可能性降至最低。」
2个月后,所谓的新系统与程序结果被植入iFrame木马的Monster.com网页破功,该内嵌网页(iFrame)试图将Monster.com的造访者重新导引至恶意网站。
Monster.com与USAJobs建议帐号使用者尽速更改密码,并且很快将强制所有使用者更换密码。Monster.com发言人表示目前正与司法部门合作,调查该资料泄密案件。