密碼外洩風險高
上傳檔案至雲端伺服器時,檔案普遍會預先經過加密,因此要在傳輸資料期間資料被竊取的機會並不高。不過,跟眾多網上服務一樣,雲端備份服務只是透過用戶帳號和密碼進行認証,一旦被不法之徒透過以下方式成功套取帳號資料,備份資料隨時會落入他人手中。
1. 簡單密碼易出事
一些雲端儲存服務沒有限制錯誤輸入密碼的次數,如果設定的密碼較為簡單的話,黑客有機會利用特定程序不斷「撞密碼」,繼而取得登入帳號資料。
2. 遺失手機致密碼外洩
為了方便使用雲端服務,多數用家也會將密碼直接保存在手機或 Tablet 內。然而,一旦遺失裝置,其他用家就有機透過該裝置套取雲端備份的帳號資料,繼而竊取雲端伺服器上的資料,構成額外損失。
3. 公共 Wi-Fi 洩密碼
有些黑客會在公共 Wi-Fi 中利用電腦竊聽網路內的傳輸封包,當裝置連上這些公共 Wi-Fi,同時自動登入至雲端儲存服務時,帳號和密碼資料就有可能在登入期間外洩。
以往 Firefox 曾出現名為「Firesheep」的附加元件,安裝後即可竊聽公眾 Wi-Fi 網絡內的通訊,輕易盜取其他用家帳號的登入資料。
4. 慎防虛假電郵
隨著雲端備份服務愈來愈普及,虛假電郵和虛假網站攻擊只會日益增長。閱讀電郵時要格外小心,切勿誤中「網絡釣魚(Phishing Attack)」圈套。
iCloud 可備份和同步 iPhone、iPad、PC 和 Mac 內的各項資料至雲端伺服器,帶來莫大方便。可是一旦遺失密碼的話,所有裝置內的重要資料有機會落入他人手中。
易成攻擊目標
F-Secure 的大中華區總監李力恆指出,黑客除了會向個別用家著手外,提供雲端備份服務的伺服器也容易成為受襲目標,因為只要順利入侵伺服器,隨即可套取上萬計用戶的備份資料,就像是最近 MasterCard 和 Visa 信用卡公司被入侵的事件中,估計受影響用戶就多達千萬計。當中 iCloud 和即將面世的 Google Cloud Storage 被攻擊的機會較高,因為相關帳號大多儲存了信用卡付費資料,對黑客而言較具價值。另外,提供雲端備份的伺服器也可能會受到阻斷服務攻擊(Denial-of-service)攻擊的威脅,只要利用喪屍網絡(Botnet)向伺服器發送大量服務需求,隨即可癱瘓伺服器運作,讓用家無法存取備份檔案。
留意服務條款
李力恆續提醒即使雲端服務沒有受到黑客入侵,所備份的資料也有機會外洩,因為服務供應商可能會將客戶資料用作統計或宣傳用途,從而增加營運收入。故此在使用雲端服務時,應詳細閱讀條款,了解備份資料的私隱保障程度,同時避免將敏感的個人資料作雲端備份,以策安全。據知將來不少電腦保安公司也有興趣發展雲端備份服務,相信有關服務推出後,有望帶動業界發展,將雲端備份的可靠性和私隱保安提升至更高層次。
除了密碼要保護,選用雲端儲存服務時亦要留意條款細節,是否保護到自己檔案的擁有權。例如 Google Drive 在上載檔案擁有權就跟其他同類服務有很大分別。
One More Thing: 免費送 Android 手機防毒軟件
香港F-Secure Facebook 專頁,為大家提供最新手機保安資訊。同時免費送出 《F-Secure Mobile Security》,內置「遙距鎖機」及「清洗資料」功能,可以使用戶在不幸遺失手機時,可以即時保護自己雲端儲存戶口資料與密碼,以及其他敏感個人資料。
有關詳情請瀏覽:http://www.facebook.com/FSecureHongKong
