CNET科技资讯网12月21日国际报道 在一名安全专家发现入侵用户帐户的一种方法后,雅虎计划强化其约会网站的安全性。
主要的问题在于Yahoo Personals 的广告中包含有关会员个人关键信息的线索━━生日和邮政编码,会员还利用这些信息重新设置他们的密码。
一旦入侵者获得了这些资料,能够阻止他修改密码和访问帐户的唯一东西就是会员的秘密问题,例如“你的宠物的名子?”、“你最喜欢的娱乐是什么?”、“你最喜欢哪支运动队?”。
发现该问题的自由编程人员班尼特表示,在即时通讯和电子邮件时代,利用一点儿社会工程学知识,这些问题的答案就很容易得到。入侵者很容易在不引起怀疑的情况下让用户回答这些问题。
这一缺陷的危险程度较低,它的效果与普通黑客活动相当,黑客也得不到更多的实惠。Yahoo Personals 在其帐户网页上不会披露信用卡号码或其它能够用来获取经济利益的任何资料。
事实上,许多用户都使用了昵称,这进一步掩盖了用户的真实身份。计算机安全厂商SPI Dynamics的高级研究工程师浮士德说,入侵这些帐户需要大量的时间和工作。
在CNET News.com 向它通报这一问题后,雅虎表示将修复这一问题。
该公司的女发言人玛丽在一份声明中说,雅虎非常重视安全,并采取措施保护我们用户的安全。在得知这一问题后,我们立即开始开发许多改进措施,其中一些已经部署到系统中。
特别是,雅虎计划改变会员资料中年龄域的方式。它目前的方法使得黑客能够猜测会员的生日,这可能有助于黑客重新设置用户帐户的密码。
班尼特说,邮政编码也存在相似的风险。创建一个自动化的系统对该网站进行监控获得线索是可能的。
班尼特表示,尽管是个小问题,但它却是设计粗糙的一个例子。密码重新设置功能假设用户的生日和邮政编码是半秘密的,而个人广告功能则设定它们不是半秘密的。
雅虎的一名代表说,为了“掩盖”用户的生日,雅虎将很快每个月更新一次该网站上的年龄域。
雅虎并非唯一一家泄露用户生日的约会站点。班尼特表示,Match.com 、AmericanSingles 、Lavalife都存在这样的问题,但这些网站都采取了各种各样的安全措施,重新设置密码要比Yahoo Personals 困难得多。这些网站应当采取更严格的安全措施。
雅虎还计划不再将“你的宠物的名子?”列为秘密问题清单上的第一个问题,但它将仍然在这一清单上。雅虎的女发言人没有披露哪个问题会成为该清单上的第一个问题。
这一事件表明,尽管是互联网上流行安全措施,秘密问题仍然可能成为用户安全防线的软肋。目前,秘密问题的答案通常很容易猜测,或者在不经意间就会泄露给陌生人。
浮士德表示,我认为互联网产业需要使用更难的秘密问题,简单、容易猜测的问题为黑客入侵提供了可能。
