万象幻境的数据安全问题
网络与通信
笔者所在城市的网吧清一色地全是用万象幻境网吧管理专家(以下简称万象)管理。万象的所有数据都保存在一个叫“OctLog.mdb”文件里,这个文件可以用Office的Access打开。只要双击该文件,会提示输入数据库密码,输入通用密码“alpha”,选择打开数据,再输入一次“alpha”,见到“userlist”了吗?把它打开看看发现了什么?会员的卡号、密码、姓名、余额、身份证号码……这些数据落在一些别有用心的人手上后果将非常严重。
问题不是出在万象身上,而是那些网吧管理员的身上。万象默认安装在C盘,但大多数网吧都把它装在D盘,因为担心系统重装嘛!
但是笔者见过有的网吧居然把D盘完全拿来共享(只读共享的也有)。攻击者只要把“Octbog.mdb”复制到本机,然后传到自己邮箱就可以用以上的方法破解了……
有些“聪明”一点的管理员会加个密码,只有输入密码才能访问共享目录。但他们不知道Windows 95/98共享目录密码校验有Bug吗?只要拷贝一个经过修改的“vredir.vxd”覆盖掉源文件,重启机器后,在密码框中按着回车键不放就能进入共享目录了。
笔者写这篇文章的目的不是教大家去盗取数据,而是要提醒那些网吧管理员要注意网吧的数据安全!