圖片來源: 

SEDC

科技新聞網站Ars Technica披露,替北美250家公用事業提供帳單與會計解決方案的SEDC以明文儲存了用戶的密碼,讓數千萬名用戶曝於安全風險中。

向Ars Technica投訴的是一名代號為X的獨立安全研究人員,他只是在去年9月碰巧發現當他忘了電力服務的密碼以至於無法登入網站時,電力公司寄來的並不是大家習以為常的密碼重設信件,而是直接以明文揭露了他原本設定的密碼。

由於該電力公司的官網是由SEDC所設計,於是他查詢了SEDC所建置的其它逾80個公用事業的網站,發現它們全都以電子郵件寄出明文密碼,且這些公用事業的用戶約有1,500萬人。

SEDC為一經營超過40年的帳單及會計解決方案供應商,主要的客戶為公用事業,在北美的客戶數超過250家,若它們全都採用一致的系統,那麼受到明文密碼波及的用戶數應該達到數千萬人。

其實X並沒有發現任何的安全漏洞,只是質疑現代還有大型科技服務供應商以明文存放用戶密碼,Ars Technica則說,一旦相關網站遭到駭客入侵,駭客輕而易舉地就能擄獲所有用戶的密碼,連破解都不需要。

當X多次企圖與電力公司及SEDC聯繫時,最後只收到SEDC法律顧問Mark Cole的回信,指出此一作法並未違反《支付產業資料安全標準》(Payment Card Industry Data Security Standard,PCI-DSS),還要X不要再騷擾SEDC的員工、客戶或其它第三方。

SEDC並未回應Ars Technica的採訪要求,而是在報導曝光的同一天發表了聲明,指出該公司無法透露資料庫及軟體的機密元素,不過他們並未違反PCI-DSS,也沒有任何安全漏洞,且已改善了系統。

SEDC在去年12月更新了軟體,新增密碼重設連結,同時移除了以郵件寄出明文密碼的功能,也正在執行第二階段的修補,以雜湊及加鹽來處理密碼,測試完畢之後將會部署至所有用戶系統上。

熱門新聞

Advertisement