档案共享服务 MEGA 爆使用者个资外泄，帐号密码和档案名称全部被看光 新闻连结：https://goo.gl/1FgfzE 有在网路上上传或下载过资源的使用者们，一定或多或少都有听过、或是用过 MEGA 这个 网路云端空间服务。 这个号称史上最佛心的网路云端空间服务，免费使用、高速上传与下载，免费大容量的档 案寄放，已经成为许多人在网路分享大型档案或资源时，首选的服务之一。 然而，现在却爆出，网路上正流传着一份清单，里面记载着许多 MEGA 使用者的帐号、密 码，以及所持有的档案。 资安研究人员：约 1.5 万笔帐号资料，几乎都是真的可登入 来自 Digital Security 的研究人员，在六月的时候发现网路上正流传着一份清单，里面 记载了许多 MEGA 使用者的帐号密码、帐户状态以及所持有的档案名称等关键资讯。 在经过研究人员进一步的测试後，发现清单中约有 1.5 万份的使用者资料，而且大部分 都是处於有效、可登入使用的状态。 MEGA 的网路服务原先为 MEGAUPLOAD，强调的是免费、大容量与高隐私度分享的档案共享 平台，由於上述的特性，该网站也成为了许多使用者分享有版权疑虑、或是私密大型档案 的首选。後来，该网站遭到美国 FBI 查封 ，几位创办人於是乎重起炉灶， 开设了 MEGA 服务 ，并且为了避免被抓， 加强了加密安全性等措施 。 而如今，这份 MEGA 使用者资讯的清单外传，将有可能让那些档案本身有疑虑的使用者们 陷入危险。 透过其他外泄网站资料，交叉比对测试而来 但 Digital Security 的研究人员也指出，这很可能并不是 MEGA 的锅。 根据研究人员的进一步研究发现，这些被记录下来的帐号资讯中，约有八成以上，都已经 有出现在近年其他使用者资料外泄事件的资料库之中，而在更仔细的验证之後，也发现纪 录於这份 MEGA 使用者清单中的资讯，有部分使用者的密码虽然於 MEGA 中无法使用，但 却可以用於登入该使用者於其他网站的服务。 研究人员因此判断，这份清单应该是有骇客或是团体组织，在蒐集了近年其他服务外泄的 资料库後，逐一尝试登入 MEGA 网站，在成功登入後便记录下该使用者持有的档案，并记 录下来。 目前，研究人员尚未得知是谁，或是为什麽制作了这份清单，但可以合理推论，此次清单 的出现，应该并不是 MEGA 的资料库出现漏洞所致。 MEAG：近期将新增二阶段验证 不过，这也不表示 MEGA 就是完全的受害者。 Digital Security 研究人员指出，MEGA 网站现阶段仍然只有支援帐号密码直接登入的机 制，因此给予骇客可趁之机，能够手动测试手上的资料是否可用，且也没有其他的登入异 常警报、或是密码错误警告，若是 MEGA 可以在这方面加强设计，理应可避免此次的事件 。 对此，MEGA 官方也於稍晚做出回应，表示经过检查，MEGA 的伺服器并没有出现漏洞或是 异常攻击，而虽然没有确定的时间点，但 MEGA 近期正在积极测试，并且会在最近上线一 套二阶段验证系统，希望可以藉此帮助有需要的使用者加强帐号安全性。 更换密码 那麽，在 MEGA 完成相关的设定之前，有没有其他是我们使用者自己可以先执行的呢？ 有的，那就是尽速更改密码，并且要特别注意，请更改为一组从来没有在任何其他网站使 用过的密码，因为此次事件之所以会发生，就是因为有使用者贪图方便，在不同的网站设 立了相同的密码所导致。 如果对於自己帐户有疑虑的使用者们，赶快去更改密码，并且确认自己的档案都还正常吧 。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.42.113.217 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Free_box/M.1532162491.A.385.html