凭着几个接洽技巧的组合和天才的编程技术,黑客们已经几乎彻底的威胁到美国在线的安全措施,维系其上的3500万用户的个人资料更随时有暴露的危险。
上星期最新的一起入侵使得黑客几乎得到对Merlin——AOL最新的客户数据库应用程序的完全访问权限。作为一种安全措施,Merlin仅在AOL的内部网络中使用,然而头脑发达的黑客们已经找到了破门而入的途径。其手段是先诱骗一个AOL员工通过Instant Messenger接收一个文件或上传一个特洛伊木马到AOL的文件库,然后这个文件一旦执行,其中的木马就会自动的把执行它的用户连接到一个因特网的聊天中继服务器,于此黑客可以直接向目标机器输入指令,然后轻而易举的侵入AOL内部网络及Merlin程序。
访问Merlin要求一个用户ID,两个密码和一个安全代码,这些黑客都可以用向AOL雇员数据库灌入仿冒的安全升级信息得到,这个过程可以通过网上的密码确认,也可以从Instant Messenger或电话上通过“社会维护”攻击来得到。第一个使用该手段的黑客据说是一名14岁的小男孩(当然是抓不到的了),而最近反映的一个破解方法则是利用AOL日文邮局入口,用一个万能密码就能登录所有的账号,不过这个漏洞后来得到了补救。
虽然这些黑客手段中很多都利用了程序的漏洞,然而大多数的黑客都发现拨打公司电话的方式来入侵显得更加“方便”和“快捷”。这个所谓的“社会维护”策略即是直接拨打AOL的客户服务电话,然后要求重设某个用户的密码,接着再用这个新密码登录,对方的一切资料就一览无遗了。有黑客说不无讽刺的说:“所有那些商家都吹嘘AOL 8.0是多么多么安全,可当人们知道他们的数据是如此脆弱的时候,估计就谁都不敢用它了。”
|