檔案共享服務 MEGA 爆使用者個資外洩，帳號密碼和檔案名稱全部被看光 新聞連結：https://goo.gl/1FgfzE 有在網路上上傳或下載過資源的使用者們，一定或多或少都有聽過、或是用過 MEGA 這個 網路雲端空間服務。 這個號稱史上最佛心的網路雲端空間服務，免費使用、高速上傳與下載，免費大容量的檔 案寄放，已經成為許多人在網路分享大型檔案或資源時，首選的服務之一。 然而，現在卻爆出，網路上正流傳著一份清單，裡面記載著許多 MEGA 使用者的帳號、密 碼，以及所持有的檔案。 資安研究人員：約 1.5 萬筆帳號資料，幾乎都是真的可登入 來自 Digital Security 的研究人員，在六月的時候發現網路上正流傳著一份清單，裡面 記載了許多 MEGA 使用者的帳號密碼、帳戶狀態以及所持有的檔案名稱等關鍵資訊。 在經過研究人員進一步的測試後，發現清單中約有 1.5 萬份的使用者資料，而且大部分 都是處於有效、可登入使用的狀態。 MEGA 的網路服務原先為 MEGAUPLOAD，強調的是免費、大容量與高隱私度分享的檔案共享 平台，由於上述的特性，該網站也成為了許多使用者分享有版權疑慮、或是私密大型檔案 的首選。後來，該網站遭到美國 FBI 查封 ，幾位創辦人於是乎重起爐灶， 開設了 MEGA 服務 ，並且為了避免被抓， 加強了加密安全性等措施 。 而如今，這份 MEGA 使用者資訊的清單外傳，將有可能讓那些檔案本身有疑慮的使用者們 陷入危險。 透過其他外洩網站資料，交叉比對測試而來 但 Digital Security 的研究人員也指出，這很可能並不是 MEGA 的鍋。 根據研究人員的進一步研究發現，這些被記錄下來的帳號資訊中，約有八成以上，都已經 有出現在近年其他使用者資料外洩事件的資料庫之中，而在更仔細的驗證之後，也發現紀 錄於這份 MEGA 使用者清單中的資訊，有部分使用者的密碼雖然於 MEGA 中無法使用，但 卻可以用於登入該使用者於其他網站的服務。 研究人員因此判斷，這份清單應該是有駭客或是團體組織，在蒐集了近年其他服務外洩的 資料庫後，逐一嘗試登入 MEGA 網站，在成功登入後便記錄下該使用者持有的檔案，並記 錄下來。 目前，研究人員尚未得知是誰，或是為什麼製作了這份清單，但可以合理推論，此次清單 的出現，應該並不是 MEGA 的資料庫出現漏洞所致。 MEAG：近期將新增二階段驗證 不過，這也不表示 MEGA 就是完全的受害者。 Digital Security 研究人員指出，MEGA 網站現階段仍然只有支援帳號密碼直接登入的機 制，因此給予駭客可趁之機，能夠手動測試手上的資料是否可用，且也沒有其他的登入異 常警報、或是密碼錯誤警告，若是 MEGA 可以在這方面加強設計，理應可避免此次的事件 。 對此，MEGA 官方也於稍晚做出回應，表示經過檢查，MEGA 的伺服器並沒有出現漏洞或是 異常攻擊，而雖然沒有確定的時間點，但 MEGA 近期正在積極測試，並且會在最近上線一 套二階段驗證系統，希望可以藉此幫助有需要的使用者加強帳號安全性。 更換密碼 那麼，在 MEGA 完成相關的設定之前，有沒有其他是我們使用者自己可以先執行的呢？ 有的，那就是盡速更改密碼，並且要特別注意，請更改為一組從來沒有在任何其他網站使 用過的密碼，因為此次事件之所以會發生，就是因為有使用者貪圖方便，在不同的網站設 立了相同的密碼所導致。 如果對於自己帳戶有疑慮的使用者們，趕快去更改密碼，並且確認自己的檔案都還正常吧 。 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.113.217 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Free_box/M.1532162491.A.385.html