檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光

有在網路上上傳或下載過資源的使用者們,一定或多或少都有聽過、或是用過 MEGA 這個網路雲端空間服務。

這個號稱史上最佛心的網路雲端空間服務,免費使用、高速上傳與下載,免費大容量的檔案寄放,已經成為許多人在網路分享大型檔案或資源時,首選的服務之一。

然而,現在卻爆出,網路上正流傳著一份清單,裡面記載著許多 MEGA 使用者的帳號、密碼,以及所持有的檔案。

資安研究人員:約 1.5 萬筆帳號資料,幾乎都是真的可登入

來自 Digital Security 的研究人員,在六月的時候發現網路上正流傳著一份清單,裡面記載了許多 MEGA 使用者的帳號密碼、帳戶狀態以及所持有的檔案名稱等關鍵資訊。

在經過研究人員進一步的測試後,發現清單中約有 1.5 萬份的使用者資料,而且大部分都是處於有效、可登入使用的狀態。

MEGA 的網路服務原先為 MEGAUPLOAD,強調的是免費、大容量與高隱私度分享的檔案共享平台,由於上述的特性,該網站也成為了許多使用者分享有版權疑慮、或是私密大型檔案的首選。後來,該網站遭到美國 FBI 查封 ,幾位創辦人於是乎重起爐灶, 開設了 MEGA 服務 ,並且為了避免被抓, 加強了加密安全性等措施

而如今,這份 MEGA 使用者資訊的清單外傳,將有可能讓那些檔案本身有疑慮的使用者們陷入危險。

透過其他外洩網站資料,交叉比對測試而來

但 Digital Security 的研究人員也指出,這很可能並不是 MEGA 的鍋。

根據研究人員的進一步研究發現,這些被記錄下來的帳號資訊中,約有八成以上,都已經有出現在近年其他使用者資料外洩事件的資料庫之中,而在更仔細的驗證之後,也發現紀錄於這份 MEGA 使用者清單中的資訊,有部分使用者的密碼雖然於 MEGA 中無法使用,但卻可以用於登入該使用者於其他網站的服務。

研究人員因此判斷,這份清單應該是有駭客或是團體組織,在蒐集了近年其他服務外洩的資料庫後,逐一嘗試登入 MEGA 網站,在成功登入後便記錄下該使用者持有的檔案,並記錄下來。

目前,研究人員尚未得知是誰,或是為什麼製作了這份清單,但可以合理推論,此次清單的出現,應該並不是 MEGA 的資料庫出現漏洞所致。

MEAG:近期將新增二階段驗證

不過,這也不表示 MEGA 就是完全的受害者。

Digital Security 研究人員指出,MEGA 網站現階段仍然只有支援帳號密碼直接登入的機制,因此給予駭客可趁之機,能夠手動測試手上的資料是否可用,且也沒有其他的登入異常警報、或是密碼錯誤警告,若是 MEGA 可以在這方面加強設計,理應可避免此次的事件。

對此,MEGA 官方也於稍晚做出回應,表示經過檢查,MEGA 的伺服器並沒有出現漏洞或是異常攻擊,而雖然沒有確定的時間點,但 MEGA 近期正在積極測試,並且會在最近上線一套二階段驗證系統,希望可以藉此幫助有需要的使用者加強帳號安全性。

更換密碼

那麼,在 MEGA 完成相關的設定之前,有沒有其他是我們使用者自己可以先執行的呢?

有的,那就是盡速更改密碼,並且要特別注意,請更改為一組從來沒有在任何其他網站使用過的密碼,因為此次事件之所以會發生,就是因為有使用者貪圖方便,在不同的網站設立了相同的密碼所導致。

如果對於自己帳戶有疑慮的使用者們,趕快去更改密碼,並且確認自己的檔案都還正常吧。

─ ─

參考資料來源:
ZDNet:Thousands of Mega logins dumped online, exposing user files
Digital Security 官方網站

(本文提供合作夥伴轉載,首圖截圖來源:MEGA 官方網站。

更多不能錯過的資安消息

【快更新】免費解壓軟體 7-zip 爆重大資安漏洞,一不小心電腦就會被「整碗端走」!
【放下我的隱私權】手把手帶你從 Line 手上取回個資自主權,行為不再被追蹤!
輕鬆就能當駭客:只要花台幣 300 元,國際機場任你駭
GDPR 成駭客勒索「神助攻」幫手:錢交出來,不然我就公開公司個資害你受罰

想更了解 MEGA?

Megaupload 部分用戶無法取回舊有檔案,因為主機商把他們都刪光光啦
Megaupload 新版 Mega 上線,懸賞駭客找安全漏洞
回來了!網路硬碟 Megaupload 將以 Mega 之名捲土重來


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: