IEEE log
出事主因是因為ieee.org的web access log ( 01/Aug/2012:20:46:28 +0000 to 18/Sep/2012:08:47:17 +0000) 放在公眾地方(一個不用登入的ftp) 自由存取--log有username都算了,這個可是連密碼都有(!)
因為有問題是log,所以這次和db server無關,也只有有限量的user受影響,可是事情比AOL那次更可怕...不過要是上列時間你沒登入就會沒事
之後是Geolocation、常用password和email等分析。不知是不是IEEE的系統作的太笨,大家的password都很頹廢,一副被盜也沒差的樣子 (汗)
教訓:
- Server log要放在一般人去不到地方.
- Server log不要有任何password及其他敏感資料的log. (aka. 敏感資料明碼儲存及讀取要小心處理)
- 要有audit....這種事有audit的話跟本就不會發生啊?!
太天真的Engineer作出來的系統還是很危險的 (汗)
Bonus: 有人叫那些懶鬼用xkcd passphrase checker檢查一下password強度 XD
