喬遷啟示:因應實體教室租約到期,富捷培訓於八月起將在長安新址,以線上直播教學為您服務,懇請舊雨新知繼續支持與指教。 地址:台北市長安東路二段201巷19號之1一樓,電話: 02-27116373

31 五月 2013

台灣Groupon被駭,約38萬用戶帳密可能外洩

台灣酷朋(Groupon)遭駭客入侵,一成用戶(約38萬人)的帳號、密碼可能被盜,Groupon強調用戶帳號、密碼經過加密處理,本週一已通知用戶更新密碼。

台灣Groupon在網站上發佈指出,5月19日發現網站資料庫遭受SQL Injection攻擊,確定被竊資料包括經加密處理的用戶密碼及電子信箱帳號,因資料庫未紀錄用戶信用卡、收件地址及收件人姓名、聯絡電話,不會影響到用戶日常生活及使用金融服務。

Groupon並於週一向用戶發出正式通知,請求用戶設定更換密碼,未收到通知的用戶則不在此次被竊的範圍內。台灣Groupon並且強調,已與美國總部合作,強化安全措施,以防止相同的攻擊手法,並對用戶資料外洩造成用戶的不便表達歉意。

換算下來,Groupon現有380萬用戶中約有十分之一的用戶資料可能被盜,即約有38萬用戶可能因此受影響,但是台灣Groupon是在5月19日發生資料庫攻擊,直到5月27日才開始通知可能受影響用戶,請求用戶重設密碼。

有關SQL Injection攻擊的預防方式,除了對SQL需有相當程度的暸解之外,程式撰寫更需培養良好的檢查習慣,以下幾個方式可以避免SQL Injection

  1. 在設計應用程式時,完全使用參數化查詢(Parameterized Query)來設計資料存取功能。
  2. 在組合SQL字串時,先針對所傳入的參數作字元取代(將單引號字元取代為連續2個單引號字元)。
  3. 如果使用PHP開發網頁程式的話,亦可開啟PHP的魔術引號(Magic quote)功能(自動將所有的網頁傳入參數,將單引號字元取代為連續2個單引號字元)。
  4. 其他,使用其他更安全的方式連接SQL資料庫。例如已修正過SQL資料隱碼問題的資料庫連接元件,例如ASP.NET的SqlDataSource物件或是 LINQ to SQL。
  5. 使用SQL防資料隱碼系統。

參考來源:iThome, Wiki