世界各地對私隱問題都非常關注!近期當 Facebook 因 Cambridge Analytica 事件,令私隱問題成為國際熱話之外,LinkedIn的保安亦出現問題,不過他們已經靜靜的補救了 (大概是因為 Facebook 事件太轟動,蓋過了 LinkedIn 的問題吧)。
先說說之前的網上保安問題:2012 年時,LinkedIn 曾被駭客侵入,盜取超過 1 億名 LinkedIn 用戶的電子郵件與密碼,事件稱為「2012 LinkedIn Hack」。當年的 6 月 5 日,被駭客盜竊的密碼於當日較後時份發佈到一個俄羅斯的駭客論壇上。 截至 6 月 6 日上午,數千個帳戶的密碼以純文字版本就上載到互聯網上。之後 LinkedIn 公開道歉及做了連串補救工作,才能平息事件。
但事件還有下文:2016 年,一名駭客試圖出售來自 2012 LinkedIn Hack 中、 1.17 億 LinkedIn 用戶電子郵件地址和密碼,索價僅 2,200 美元,並接受比特幣支付(又是 Bitcoin),LinkedIn保安問題再次引人關注。大家亦由此可見,一時疏忽,後患無窮。
最近,一位獨立安全研究員通知 LinkedIn,表示其「自動填寫(Autofill)」功能存在嚴重缺陷。LinkedIn 用戶的個人資料詳細信息,就會自動填寫到其他網站的表單上!另外研究人員又再發現,駭客能令「自動填寫按鈕」「消失/ 透明化(Invisible)」,同時將按鈕擴大並覆蓋整個顯示屏之上(聽起來好像很可笑) — 意思是,受襲擊用戶就算點擊顯示屏上任何位置,也等同於按了「自動填寫按鈕」,迫使用戶自動發送個人資料到駭客手上。不過 LinkedIn 已經快速地修正保安漏洞,在不知不覺間,用戶私隱再次得到保障,也顯示出 LinkedIn 的快速應對能力。
話分兩頭,LinkedIn 加入歐盟的國際安全港隱私原則 (International Safe Harbor Privacy Principles),當中允許歐洲聯盟和美國雙方企業與個別入士流通個人資料的原則,從而乎合政府監管及立法目的,是一個自我調節的政策和機制:LinkedIn 必須每 12 個月重新認證,它可以進行自我評估或聘請第三方來進行評估驗證;同時必須確保適當的員工培訓及合理的申訴機制,以達至歐盟要求。
雖然如此,駭客威脅每日都存在於網絡世界,作為利用 IT 科技的 Startup Founder,更加不可不防啊!
最近,Twitter 也遇到網上保安的問題,快去看看他們如何解決吧。
編輯推薦: