• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:332

●重點摘要：
1. 網路電台服務 8tracks 於上周遭受攻擊，包含姓名、雜湊密碼與電子郵件等超過1800萬筆資料遭竊
2. 8tracks 已確認此事並表示主因為員工的 Github 帳戶密碼未使用雙因子驗證機制所導致
3. 8tracks 解釋影響範圍僅限於以電子郵件登入的客戶，其他以 Google 或 Facebook等方式登入者則不受影響
4. 所幸遭竊帳戶密碼以使用雜湊演算法混淆，但為安全起見，8tracks 仍強烈建議使用者變更密碼
5. 因為有使用 SSH 公/私密鑰對應所保護，8tracks 認為駭客並非入侵到主要伺服器與資料庫，而是備份系統與資料庫
6. 8tracks 表示已進行審核所有的安全措施，並變更儲存系統密碼、在備份系統新增存取紀錄、Github 上使用雙因子認證以及限制存取權限和改善密碼加密強度等
7. 值得注意的事，8tracks 除使用者名稱、密碼、電子郵件等資料外，並未儲存其他機敏資料如信用卡號碼、電話號碼或家住地址等

●TWCERT/CC 建議 8tracks 使用者儘速變更帳戶密碼，若該密碼意使用在其他網路服務，請務必同時變更，並應養成不同網路服務使用不同之登入密碼之習慣。

參考連結：

http://news.softpedia.com/news/internet-radio-service-8tracks-hacked-18-million-accounts-stolen-516733.shtml
https://blog.8tracks.com/2017/06/27/password-security-alert/