魔兽世界等线上游戏遭间谍软件锁定

　　上周有两次大型入侵攻击。第一场攻击有超过10万个网站中弹，包括了主要的新闻网站如华尔街日报(Wall Street Journal)及耶路撒冷邮报(Jerusalem Post)。第二场攻击规模小很多，大约只有近千个网页受攻击，而且受害对象中除了博奕公司Ameristar外，皆无如第一场攻击之高知名度对象。

　　这波的攻击将使用者重导至http://www.{已防堵}nt.us/u.js。当使用者进入这个URL后，就会在不注意的状况下下载TSPY_GAMETHI.QJB 间谍软件。

　　目标：线上游戏玩家

　　值得注意的是TSPY_GAMETHI.QJB目标是Aion Online永恒纪元，Dungeon Fighter(DNF，译‘地下城勇士’)，和World of Warcraft魔兽世界等与线上游戏网站相关的资料。因此很容易会认为这类结果的可能附带问题是微不足道，但事实并非如此。就如在2008年底(late-2008)的一份技术白皮书所指出，线上游戏的“虚拟世界”会造成真正的安全风险。

　　另外这些被窃取的资料也很可能不单单只和线上游戏有关。上周一份有意思的报告在信息安全经济讲座(Workshop on the Economics of Information Security.)中发表。这份报告是由两位剑桥大学(University of Cambridge)的研究人员所发表，其中分析了150个不同的网站如何使用密码。研究人员引用了纽约时报的网站为例，网站要求使用者需注明收入，工作职称，产业，及公司规模。这些皆不是为了传达新闻给读者所需的特定资料，反倒是对广告商相当有助益。

　　由于多数网站需要注册登入(因此需要使用密码)，因此造成了密码的过度使用。不幸的是，人类的记忆是有限的。如此的结果造成使用者在不同网站使用相同的密码，有些在使用上就不是那么安全了。

　　密码事关重大

　　使用者应当知道不要重覆使用密码(如果需要，使用免费即可取得的密码管理)，并在需要时进行变更。