學承電腦逢甲分校

專門管理用戶各式密碼的LastPass在上周五發現遭到駭客入侵，除了立即封鎖可疑活動的存取之外，LastPass調查發現駭客取得用戶的電子郵件帳號、密碼提醒字串、驗證雜湊，以及雜湊中的「鹽巴」（salts，在密碼中所插入的特定字串），但用戶帳號或是加密的密碼資料庫並未被存取。

LastPass可協助用戶產生安全的新密碼、記錄各式服務的密碼及自動填入密碼等，使用者唯一需要記住的是用來登入LastPass服務的「主密碼」（master password）。雖然並無證據顯示LastPass用戶的主要密碼外洩，但駭客仍有機會經由所竊得的雜湊與「鹽巴」找出密碼。

LastPass共同創辦人暨執行長Joe Siegrist指出，相信LastPass所採用的加密措施足以保護大多數的使用者，除了透過隨機的加鹽程序來強化驗證雜湊外，不論是在客戶端或伺服器端都執行了大量的密碼強化運算（PBKDF2-SHA256），代表駭客很難快速攻擊偷來的雜湊碼。

為了預防萬一，LastPass要求未採用多因素認證的用戶在以新的裝置或是IP位址登入時，必須透過電子郵件進行帳號驗證，也提醒用戶更新他們的主要密碼。

Siegrist表示，由於駭客並未取得LastPass用戶的加密資料，因此使用者不需變更儲存在LastPass密碼資料庫中的各式密碼。

LastPass在2011年也曾發生疑似駭客入侵的事件，當時LastPass僅發現異常的流量，並未確認任何資料的外洩，但採取了最謹慎的措施，要求用戶更新主要密碼。（編譯/陳曉莉）

悠遊卡公司「Easy Wallet」app暫停查詢功能後，6月已重新上架恢復查詢功能，但手機刷機或JB者不能使用，悠遊卡公司並擬重新徵選app合作開發商。

Easy Wallet為悠遊卡公司去年推出的官方app，允許悠遊卡用戶登入卡號，查詢悠遊卡的交易紀錄、餘額，今年五月悠遊卡公司偵測到來自Easy Wallet的大量異常查詢，以遭到惡意攻擊為由，關閉app上的悠遊卡交易紀錄及餘額查詢功能，造成許多用戶的不便。

6月Android版本Easy Wallet已重新上架，重新開放app查詢功能，而iOS版本也在6月11日通過蘋果審查，重新在App Store上架。不過，卻有用戶仍無法使用，app出現閃退的問題。

對此，悠遊卡公司發表聲明指出，先前因偵測到大量異常登入查詢而暫停功能，app重整長達3個星期，對用戶造成的不便致歉，將檢討能力不足問題，避免類似問題再次發生。

Easy Wallet原為悠遊卡委託外部的開發商設計，五月出現大量異常查詢，讀取悠遊卡用戶交易資料，悠遊卡公司即要求委外業者關閉查詢功能，強化安全防護機制。

暫停服務的3週期間，悠遊卡公司除了要求合作業者修改app內參數傳遞方式及加密機制確保app使用安全，並在美國的資安顧問協助下，加強程式原始碼、程式檔混淆保護機制。另外，原本的委外開發商合約已到期，悠遊卡公司準備對外徵求新的開發商，以加強未來app功能及安全防護。

5月發生大量異常查詢暫停查詢服務時，便有網友指出，實際上為Easy Wallet設計上的問題，未做好防護機制，可以逆向工程API查詢卡片的交易紀錄，並非悠遊卡公司宣稱的遭受到大量異常存取的惡意攻擊。

對此，悠遊卡公司坦承確實app開發設計上不夠週全，使第三方可透過逆向工程查詢，在委外業者及國外的資安顧問的協助下，重新上架的app已修補這個問題，該公司也重申悠遊卡用戶的資料並沒有外洩出去。最初遭受惡意攻擊的說法也改為較中性的偵測到大量異常登入。

部份的用戶更新app出現的閃退問題，悠遊卡公司則回應，手機經過JB或root後已無法保證系統的安全性，手機業者對是否繼續提供保固也存在高度爭議，例如原本保護性高的iOS系統經過JB後，第三方可能取得app程式檔，可能影響到app的安全，而Android平台app刷機後也可能影響到資料傳輸安全，在資安考量下決定限制刷機用戶的app查詢。

不過，其他app並沒有限制手機刷機者使用，刷機用戶卻無法使用Easy Wallet查詢功能。悠遊卡公司表示，可能的原因是其他app還沒有遇到Easy Wallet類似的問題，未明白安全的重要性，另一個便是app開發商有足夠的技術能力，針對刷機用戶強化app安全，而這也是悠遊卡公司對外重新徵求合作開發商的原因。