圖片來源: 

Tripwire

3名來自加州大學聖地牙哥分析的研究人員近日開源了Tripwire工具,可用來推斷網站的會員資料是否外洩了,同時他們也發現所偵測的2300個網站中,有19個存在著資料外洩問題,當中有一個網站的會員數高達4500萬。

Tripwire的概念很簡單,它利用機器人申請眾多網站的帳號,每個帳號都以獨立的電子郵件位址申請,但全都使用同樣的密碼,只要檢查各個電子郵件是否遭到第三方存取,就能用來推斷網站是否遭到駭客入侵。

研究人員於2015年1月到2017年2月的測試期間中,總計註冊了逾2300個網站的帳號,發現當中用以註冊19個網站的電子郵件曾被非法存取。

為了確認是網站而非電子郵件服務供應商遭到入侵,研究人員於同一郵件服務上額外申請了10萬個帳號,結果皆未遭到存取。

Tripwire也能用來檢視網站是以明文或是採用加密方式來儲存使用者的憑證,藉由在每個網站上申請兩個帳號,一個使用7個字符的簡單密碼,另一個使用10個字符的隨機且複雜的密碼,若是兩個帳號都被駭,大概就能猜測網站是以明文來儲存密碼。

值得注意的是,在研究人員所發現的19個被駭網站中,只有1個曾對外公開遭駭情事,其中18個可能是對外隱暪,也可能是連自己都不知道,駭客則企圖保持低調以繼續使用這些憑證,以避免網站要求用戶重設密碼。研究人員並未揭露該擁有4500萬會員數的網站名稱,只說它是美國的新創業者,且顯然是用明文來儲存會員密碼。


Advertisement

更多 iThome相關內容