payeasy-資料拼圖式入侵
從新聞中得知payeasy發生被中國方面網路位址所發動的帳號測試攻擊,剛開始從電視新聞得到的消息十分片段,而且都指向個人資料外洩方面報導,如果是個人資料外洩,其實很多都是人為因素。但是後來整理的網路新聞才發現並不是如此,對方是利用從各方蒐集來的個人資料嘗試向payeasy平台進行帳號嘗試登錄。而且從行為觀察,疑似採用大量人工方式進行測試,這表示對方是一個有組織性的行動。他們想將手中的資料轉化成可以進行犯罪的資訊,這點確實有物盡其用的想法,難道道高一尺魔高一丈的時代已然到來?
從過去學習資安的課程中,通常對於惡意的資訊擷取行為,無論是內部或是外來。資安人員有能力對抗的立基點在於惡意行為人通常是個人或是少數人的集團。因此資安人員能透過動用較大資源,及組織對抗的方式取得獲勝的可能。但是如果相對這次的行動,對方可能動員多地多人,採用組織動員的方式,針對單一對象進行突擊,payeasy相形之下變得勢單力薄。又由於資安的管制通常列為個別公司的重要機密,反而限制組織聯合對抗的可能。
目前payeasy處理的方式,我認為以一個公司能做的來說,已經相當不錯。
1.限制對方特定ip存取:這個效果其實有跟沒有一樣,不過總是個開始。
2.將事件中被命中的帳號及密碼予以暫時停用:這點相對之前幾個網路業者或是遊戲業者的作法,我認為payeasy的處置是冷靜而有效。不會有讓人亂了手腳的感覺。
3.以所提供的資訊(郵件,手機簡訊 等),開始通知帳號密碼被命中的會員:
4.會員登入畫面,登入後會有燈號提示是否是被帳號密碼被命中的清單對象:這個作法可以看出處理者的細心之處。
以上處理的方式,算是簡單俐落,也將影響範圍減到最小。之前部份業主動輒通知所有會員更改資料,或是暫停伺服器使用的方式,反而造成平台及機制上面更大的困擾。
這次雖然還是個案,但是這樣的方式透過資訊的公開,相信複製經驗的人會前仆後繼的出現。個別公司對抗有組織的資訊入侵集團已經是無法避免的窘境,但是以國家為單位的整合防堵力量,卻還沒有讓人感受到存在的需要,也許要等到國家所屬的資訊受到更大的挑戰,才會有人驚覺自己已經是四面楚歌了。
