淺談雲端儲存安全問題
「雲端」二字,而其應用之一的雲端儲存(Cloud Storage),與我們的關係更是密切,只要能連上網,使用者可以隨時隨地存取網路上的檔案,省去攜帶隨身碟、筆電的困擾;也不像傳統硬碟,若是不小心毀損或遺失,所有資料將付之闕如。對企業來說,雲端儲存服務能讓公司不必在自己的資料中心或辦公室內安裝實體的儲存裝置,而日常的維護工作可交給服務供應商;對一般使用者來說,雲端儲存大幅減少了舟車勞頓及運輸的成本。
搭著這股熱潮,業者紛紛推出雲端儲存服務來搶雲端市場這塊大餅,包括Dropbox、Google Drive、AppleiCloud、MEGA以及國內的中華電信Hami+個人雲和Asus WebStorage等,這代表我們所能選擇的雲端儲存服務非常多樣化。惟一般人在選擇或使用雲端儲存服務時,優先考慮的往往是它的儲存空間有多大、使用介面是否便利,卻忽略了雲端儲存服務潛在的安全隱憂。使用者也許認為雲端技術相當成熟,所以放心地把一些重要或私密的檔案和資料放在雲端上,但這可能還是防不住有心入侵的駭客。舉例來說:2014年8月31日晚間在美國的Reddit、4chan網站流出大量好萊塢女星的私密照片,造成網路上一片恐慌,雲端技術安全備受質疑;其實這些照片是駭客經由Apple iCloud的漏洞入侵所盜取,即便是運行多年的Apple iCloud服務也存在漏洞。根據趨勢科技的分析,上述事件的發生有以下幾種可能原因:
一、使用不安全、易遭駭客破解的密碼:使用與個人資訊高度相關的密碼,相當容易遭到破解,駭客只需找尋相關資訊即可盜取資訊。
二、受害者未啟用iCloud的雙向認證:當攻擊者知道受害者的iCloud電子郵件地址,攻擊者就可能透過「忘記密碼」功能進行密碼重置。因明星多數的個人資料可從網路上取得,包括寵物名稱等等,大幅提升帳號被入侵的可能性。
三、攻擊者侵入另一個安全性較弱的帳號,以接收iCloud的密碼重置郵件。
四、重複使用相同密碼:許多人常在多個服務使用相同的密碼,若其他網路服務的帳號已被入侵,則iCloud的帳號也可能遭受攻擊。
五、網路釣魚:攻擊者發送針對性的釣魚郵件給明星,引誘她們輸入自己的iCloud認證資訊到假的登入畫面,藉此蒐集帳號與密碼。
除此之外,當我們在選擇各種業者所提供的雲端服務時,必須在使用前看清楚其服務條款,否則這些服務也很有可能造成隱私上的隱憂;例如:Google Drive在推出時,其中一項服務條款便惹來爭議,內容為「當你將資料上傳或用其他方式提交到Google Drive後,你就給予Google(以及我們的合作夥伴)全球授權,可以使用、代管、儲存、再製、修改、建立衍生內容、溝通、出版、公開呈現,和遞送這些內容。」雖然Google表示使用條款中已載明內容的所有權歸用戶所有,但是並沒有保證只有在「為維持服務運作相關」的情況下,才可以使用部分的資料,這表示Google有更大的權利來操控我們所上傳的資料,這些內容甚至可能淪為廣告用途,因此,平時我們便需要做好個人資料的保護。以下列出幾種保護方式提供參考:
一、請使用強度高的密碼:千萬不要圖方便記憶而設置過於簡單的密碼,好的密碼應至少使用八個字元以上、英文大小寫與數字混合使用、盡可能包含一些特殊字元等;即使設置強度高的密碼,也不應重複使用此密碼,應定期更新密碼。
二、重要資料加密備份:資料需多次備份並加密,除儲存於雲端之外,應再儲存於本機端或私人的硬碟和隨身碟中,重要資料切勿只存在雲端中。
三、避免使用公用電腦存取個人資訊:使用完公用電腦時,記得在關閉網頁前先登出並刪除瀏覽紀錄。
四、慎防網路釣魚:網路釣魚是一種誘騙電腦使用者透過手機、電子郵件、網站或通訊軟體,竊取個人資料或財務資訊的手段。所以在收到任何簡訊、電子郵件時,需再三確認其內容,切勿輕易回覆。
雲端儲存服務固然方便,但卻無法保證其安全性。個人私密或重要的資料應盡可能避免儲存在雲端上,若要儲存,也必須做好加密保護的動作。科技發展是一體兩面的,以雲端儲存服務而言,在運用其方便性之餘,我們也應正視它所帶來的安全議題,才能享用科技而不淪為駭客的目標。
(作者為國立交通大學資通實驗研究室研究員