研究員指伊朗Telegram用戶遭入侵 但你仍可改設定保私隱

研究員指伊朗Telegram用戶遭入侵 但你仍可改設定保私隱
Photo Credit: Dado Ruvic / REUTERS / 達志影像

我們想讓你知道的是

有網絡安全研究員指,十多個伊朗的Telegram用戶被黑客以截取短訊的方式入侵,黑客又透過軟件的通訊介紹收集用戶資料。Telegram表示,用戶可以設定密碼避免入侵。

Telegram是個標榜安全的通訊軟件,今年2月該公司宣佈他們每個月有1億名活躍用戶,每日發送150億個訊息。而在伊朗,有大約2000萬個Telegram用戶。

《路透社》早前報導,兩名研究伊朗黑客組織達3年的專家——獨立網絡研究員Collin Anderson及國際特赦組織的科技專家Claudio Guarnieri——發現,有方法可以入侵Telegram帳戶,從而讀取其訊息,也能夠透過Telegram辯認千五萬伊朗用家。

短訊令帳戶易受入侵

在訪問中,Anderson表示有十多個例子是黑客透過跟電話公司合作,入侵Telegram用戶。由於Telegram需要用戶(在使用新裝置時)以短訊確認身份,兩人指假如電話公司受政府控制,就會令帳戶易被入侵。

不過Telegram回應指,軟件容許用戶自行設定密碼,毋須只依靠短訊確認,能防止這類攻擊,而這密碼可以透過電郵重設。其發言人Markus Ra說︰「假如你使用一個強的Telegram密碼,而且你的電郵安全,攻擊者就無法入侵帳戶。」

但伊朗國際人權促進會(ICHRI)的網絡研究員Amir Rashidi曾協助被伊朗黑客入侵的受害者,他指有Telegram用戶即使設定了密碼,仍然受到監控。Ra則表示在這情況下,用作重設密碼的電郵有可能同時被入侵。

RTSKP0D
Photo Credit: Brendan McDermid / REUTERS / 達志影像
Amir Rashidi

Guarnieri及Anderson指這些黑客來自一個稱為「火箭小貓」(Rocket Kitten)的組織,該組織慣常使用「魚叉式網絡釣魚」——裝作熟人的攻擊方式——來行動,並顯示出對伊朗人使用的保安軟件有興趣。

他們更指被入侵的用戶,包括參與改革運動以及反對團體的政治運動者,但拒絕透露其姓名。Anderson表示見過有人在被拘捕之前,先被鎖定目標。

黑客用電話識別用戶,建立資料庫

兩人表示,他們有證據顯示黑客利用Telegram的應用程式介面(Application Programming Interface, API),來識別最少1500萬個伊朗電話號碼所註冊的Telegram帳戶,以及相關的用戶編號。

他們認為這些資訊,可以用來建立一個伊朗用戶資料庫,對未來的攻擊或調查有用。Guarnieri指此前未曾有人揭露過「有系統地為整個國家使用加密工具的人去匿名及分類」的事件。

Telegram的回應則指,由於該軟件建基於電話號碼及其聯絡人,任何人也可以檢查一個電話有否在其系統註冊,這也適用於其他類似通訊軟件,例如WhatsApp和Facebook的Messenger。Ra表示該公司曾封鎖類似的嘗試,並致力改善其檢測及封鎖機制。

兩人將會於今個星期四,在拉斯維加斯舉行的「黑帽」網絡安全會議上演講,介紹在伊朗一些受政府資助的網絡攻擊。他們亦會在今年稍後時間,發表關於Telegram攻擊及其他研究的全面報告。

如何在Telegram保障通訊安全

一般而言,Telegram的通訊內容會存放在其伺服器,以便用戶透過其他裝置登入時,能夠讀取先前的訊息。不過其秘密通話(secret chat)功能,可以讓用戶使用點對點加密(end-to-end encryption)通訊,只有特定裝置可以存取,不會在雲端存放,因此也不受上述攻擊影響。

Telegram_Privacy_and_Security
Telegram 的「私隱及安全」設定頁面。

假如你希望使用安全、不被竊聽的通訊軟件,除了要開啟秘密通話外,也要啟用Telegram以下設定(在私隱及安全頁面)︰

  • Passcode Lock——設定後可以在裝置上鎖定Telegram,鎖上後即使裝置被人偷走也須要先破解密碼。但注意假如你忘記密碼,就必須重新安裝軟件,並失去所有秘密通話內容。
  • Two Step Verification——按進去可以設定額外密碼,以及填上回復密碼的電郵地址(可以略過),設定後每當增加新裝置時,除需要短訊傳送的安全編碼外,也需要輸入密碼。
  • Active Sessions——可以看到現時有甚麼裝置登入了你的Telegram帳戶。

相關文章︰

資料來源︰


猜你喜歡


《錢都》品牌轉型學:導入數位化工具 起手NUEIP企業管理

《錢都》品牌轉型學:導入數位化工具 起手NUEIP企業管理
photo credit:人易科技

我們想讓你知道的是

錢都餐飲導入NUEIP的人資系統,讓各店長有機會展現自身更有價值與影響力的一面,也間接帶動各店彼此的目標達成士氣,讓品牌更有價值。

每天用餐時段一到,橘底白字的店面內,一個個小火鍋上桌,全家人的歡笑聲伴隨著鍋內沸騰的泡泡不斷冒出,這是錢都餐飲旗下老字號火鍋品牌「錢都日式涮涮鍋」的日常。從 1997 年創立至今,目前全台已擁有72間分店、來客數年破千萬,卻依然堅持使用精心熬煮 96 小時後的大骨高湯,並加入柴魚、昆布等食材增添其風味使湯頭更有層次,讓許多老饕顧客每每都感受到錢都令人難以忘懷的餐飲體驗。

而面對時代的變動,錢都近年來也持續推動品牌革新,翻新原有店面改裝成更符合年輕人風格的日系二代店,並積極計畫拓展店面,透過導入數位化工具,當輔助訓練大量儲備幹部與培訓人才時,能夠更加有效率。

NUEIP雲端人資包辦行政庶務,錢都店長安心放眼未來

image3
photo credit:人易科技/錢都
導入NUEIP讓店長們更有時間專注於達成公司營運績效。

錢都餐飲人資主任周芮昕表示,初期原本公司使用紙本打卡鐘,以全人工方式做薪資計算與審核。每個月月底,各店店長們都需要加班計算員工出缺勤與薪水,才能趕得及1號中午之前,讓物流車將紙卡載回總公司。接下來,總公司需加派人力逐張、逐行的人工登打進電腦,同時主管單位還會抽樣檢核正確性,前前後後繁複作業總需花上一週時間,而72間門店店長加上總公司登打與檢核的人力,更是可觀的成本。

「人工計薪誤差高、效率低,換算下來,NUEIP 幫我們幾乎節省了78%的時間與95%的人力成本,現在整個流程只需要兩個人、1.5 個工作天即可完成。不只效率高且基本上是零失誤,這些數值是我們在導入前完全沒意料到的。」周主任述說。錢都認為,店長們應該專注於門店的營運和管理,帶領門店達成公司經營目標,而不是加班執行繁瑣且無效率的行政作業。周主任認真地說道:「錢都餐飲導入NUEIP的人資系統,讓各店長有機會展現自身更有價值與影響力的一面,也間接帶動各店彼此的目標達成士氣,讓品牌更有價值。」

NUEIP療癒系出缺勤、排班與薪水管理,造福餐飲業者

image2
photo credit:人易科技/錢都
NUEIP的雲端人資系統排班介面清晰、操作簡易,且可計算計時人員的實際工作時數。

經營餐飲業的人都知道,餐飲業人員流動率高,加上計時人員眾多的情況下,要掌握員工的請假狀況只能經由店長回報,無法在第一時間知道。周主任說道:「以前各店排班是一件很痛苦的事情,幸好 NUEIP的排班功能對餐飲業非常友善。不僅可以依時數彈性安排工讀生的班表,不須建立上百個班別,還能自動檢核目前的人力配置是否妥當。搭配『實際工時統計』功能,可統計計時人員的實際工作時數,進而準確計算假期、加班時數與薪資,若人員有任何出勤狀況,總公司都能即時知曉或因應。」。

因為適切的系統功能,讓錢都餐飲在企業管理上能夠無所顧慮,周主任表示,雖然前期數位轉型時,要教育店長們使用電腦、熟悉功能,會經過約一個季度的轉換陣痛期。但現在不僅省去紙本操作、不用為了行政事務加班、各店人員可以輕鬆使用LINE進行上下班打卡或請假,店長們紛紛覺得這個轉換期很值得。對總公司來說,更降低了門市人員的控管風險,讓整個企業在力拼品牌規模時,更加順利地往前邁進。

image4
photo credit:人易科技/錢都
錢都藉由手機APP打造會員生態圈、力拼餐飲品牌規模。

雖然疫情肆虐全台業者,但錢都餐飲把握契機逆勢成長,開始發展電商通路,推出品牌麻辣鴨血豆腐、特色水餃、嚴選海鮮食材等;實體店方面,藉由手機會員 APP 打造超級會員經濟。錢都餐飲旗下品牌目前正積極討論拓點計畫,以優渥的薪資獎金招募優秀的儲備幹部,而在例行的行政事務上,則由 NUEIP 協助支援,讓門市與總部的聯繫更加緊密與即時,企業內部管理更加順暢有效率。


了解更多:https://www.nueip.com/

本文由「人易科技」提供,經關鍵評論網媒體集團廣編企劃審閱。


猜你喜歡