云端中間人攻擊手法

資安公司Imperva在黑客大會上展示云端中間人攻擊手法，讓黑客不用破解密碼、不用攻擊程式，也不用撰寫服務器端的程序，即可存取用戶Google Drive、Box、微軟及Dropbox上的檔案，達成竊取資料或進行其他攻擊的目的。

云端中間人(man-in-the-cloud,MIIC)攻擊是利用云端儲存服務的檔案同步化機制。檔案同步化的原理是利用同步化軟體與儲存在裝置上的同步化權杖(synchronization token)完成使用者身份驗證，使本機同步資料匣(sync folder)中的檔案變更或新增可同步到同一使用者的云端服務上。研究人員指出，企業與個人利用Google Drive、Dropbox等云端服務進行檔案同步愈來愈普及，但同步服務設計反而使其變成黑客理想的攻擊平臺，只要開個帳號，連C&C服務器都不必架。

（本欄目刊登文章為縮編，僅代表作者本人觀點，與本刊觀點無關）