資安公司Imperva在黑客大會(huì)上展示云端中間人攻擊手法，讓黑客不用破解密碼、不用攻擊程式，也不用撰寫(xiě)服務(wù)器端的程序，即可存取用戶(hù)Google Drive、Box、微軟及Dropbox上的檔案，達(dá)成竊取資料或進(jìn)行其他攻擊的目的。

云端中間人(man-in-the-cloud,MIIC)攻擊是利用云端儲(chǔ)存服務(wù)的檔案同步化機(jī)制。檔案同步化的原理是利用同步化軟體與儲(chǔ)存在裝置上的同步化權(quán)杖(synchronization token)完成使用者身份驗(yàn)證，使本機(jī)同步資料匣(sync folder)中的檔案變更或新增可同步到同一使用者的云端服務(wù)上。研究人員指出，企業(yè)與個(gè)人利用Google Drive、Dropbox等云端服務(wù)進(jìn)行檔案同步愈來(lái)愈普及，但同步服務(wù)設(shè)計(jì)反而使其變成黑客理想的攻擊平臺(tái)，只要開(kāi)個(gè)帳號(hào)，連C&C服務(wù)器都不必架。

（本欄目刊登文章為縮編，僅代表作者本人觀點(diǎn)，與本刊觀點(diǎn)無(wú)關(guān)）