如何加強電郵系統保安

如何加強電郵系統保安

(刋於 AM730 - 2016年9月28日)
http://www.am730.com.hk/column-331154

雅虎上星期發表聲明，指有黑客於2014年入侵該公司系統，並盜取了超過4億個用戶的個人資料，內容包括姓名、電郵地址、電話號碼、出生日期、加密密碼，以及保安問題及指定答案等，但用戶的信用卡資料及銀行帳戶則沒有被盜取。事件源於今年7月，一名俄羅斯黑客於「暗黑網絡」以3個比特幣的代價，出售約2億個雅虎帳戶，事件才被揭發。雅虎官方指今次黑客的行動是受到「有國家支持的黑客」的入侵，但未有透露是那一個國家，但今次以帳戶資料失竊的規模來計算，應該是史上最大的一次。

事件已經發生了兩年，用戶可以做的其實不多，而且今次發生的問題，不是出於用戶端的保安漏洞，可能是黑客從電郵服務供應商的「後門」，進入系統盜取資料，可以說是防不勝防。不過，我建議雅虎的用戶仍然需要更改電郵密碼，並且開啟二步認證(2 Step Verification)，以確保進一步的電郵系統安全。

如果各位有利用雅虎的電郵地址登記其他的網上服務，例如網上支付系統或社交媒體平台，黑客可能有機會利用平台上的忘記密碼步驟重設密碼，並於電郵收取更新密碼連結。如果有此情況，便應該立刻重設這些平台的密碼，並且開啟二步認證，並翻查以往資料，看看有沒有其他懷疑的個案，如有懷疑，應立即通知該平台及警方，以策萬全。