Re: [Vtub] VSPO對個資流出事件的報告

看板C_Chat作者 (甚麼都不想做的凱瑞)時間1年前 (2024/06/25 21:47), 1年前編輯推噓114(1140170)
留言284則, 78人參與, 1年前最新討論串2/4 (看更多)
https://www.bravegroup.co.jp/news/6359/ BG的官方稿 --- 可能洩漏投稿數: Vspo:約7000件 Brave group:約2610件 HareVare VLiver:約1043件 洩漏內容有姓名、縣市(有些誤填具體地址)、電話、生日、SNS和入社動機等 --- 洩漏經過: 編輯用表單連結的檢視和編輯範圍為「知道此連結者均可檢視」 但填寫報名和可檢視內容的表單連結不是同一個,因此可檢視個人資料的連結並未在填寫 報名的頁面上公開 根據此事件推測,能夠訪問編輯用連結的可能性有三種,目前正調查中: 1.第三方請求授權被允許了 -> 但今天進行確認時並未看到有外人獲得編輯許可的紀錄 2.公司內部洩漏編輯用連結給其他人 3.透過非法途徑取得編輯用連結 --- 事件確定經過: 經過調查發現在6/18 11:23、6/25 16:28,有兩位人士發現上述問題而去私訊Vspo推特 但由於是用推特私訊所以被延誤處理,直到今天17:01收到另一位人士的詢問後 該事件已在推特成為話題,於今日17:15才確認該事件及上述兩次詢問的存在 --- 大概翻了一下,有稍微精簡一下說法 看起來整個BG旗下公司的報名表單都是用同一個方式運作 然後的確在事件爆發前幾天有兩個人曾和Vspo官方提起此事 但因為是在推特私訊而被延遲(處理) 依據BG的解釋可能是有內鬼或被用特殊方法取得到編輯用表單連結 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.36.217.92 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1719323221.A.19C.html
06/25 21:47, 1年前 , 1F
這些資料有流到網路上嗎?
06/25 21:47, 1F
06/25 21:49, 1年前 , 2F
Brave Group 應該有錢賠吧w
06/25 21:49, 2F
06/25 21:51, 1年前 , 3F
是有多覽 編輯用的也不搞白名單
06/25 21:51, 3F
06/25 21:51, 1年前 , 4F
沒事 給bg扛
06/25 21:51, 4F
06/25 21:51, 1年前 , 5F
沒鎖權限網路上就是裸奔 尤其google aws這種一直有爬蟲
06/25 21:51, 5F
06/25 21:51, 1年前 , 6F
這樣整個就上萬件了耶 所以2或3都還是有洩漏個資的可
06/25 21:51, 6F
06/25 21:51, 1年前 , 7F
能性
06/25 21:51, 7F
06/25 21:52, 1年前 , 8F
事件最大贏家是青桐學園嗎?
06/25 21:52, 8F
06/25 21:52, 1年前 , 9F
最大贏家應該是krkr
06/25 21:52, 9F
06/25 21:53, 1年前 , 10F
沒買google企業版帳號吧
06/25 21:53, 10F
06/25 21:54, 1年前 , 11F
貪圖方便沒權限設白名單 公司機密遲早被爬走 不用內鬼
06/25 21:54, 11F
06/25 21:55, 1年前 , 12F
刺激囉上萬件
06/25 21:55, 12F
06/25 21:56, 1年前 , 13F
起因可能很蠢,不過網址怎麼流出去的就通靈不到了
06/25 21:56, 13F
06/25 21:56, 1年前 , 14F
員工A:我這邊需要應徵者資料,那個表單檔傳給我
06/25 21:56, 14F
06/25 21:56, 1年前 , 15F
員工B:在雲端上,怎麼存下來啊
06/25 21:56, 15F
06/25 21:56, 1年前 , 16F
員工A:就下載啊...算了你開分享給我載吧
06/25 21:56, 16F
06/25 21:56, 1年前 , 17F
員工B:開好了,網址給你(開到全公開)
06/25 21:56, 17F
06/25 21:56, 1年前 , 18F
員工A:謝了(然後忘了提醒權限要關掉)
06/25 21:56, 18F
06/25 21:58, 1年前 , 19F
樓上柯南
06/25 21:58, 19F
06/25 21:58, 1年前 , 20F
KRKR這樣看起來不就像是句句屬實了嗎?
06/25 21:58, 20F
06/25 21:58, 1年前 , 21F
樓上那個還真的是很有
06/25 21:58, 21F
06/25 21:58, 1年前 , 22F
姓名、住址、電話、生日 完蛋
06/25 21:58, 22F
06/25 21:59, 1年前 , 23F
洩漏地址跟SNS都有 投職小V有精障粉拿到 是真的會出事耶
06/25 21:59, 23F
06/25 21:59, 1年前 , 24F
從公告就知道這公司資安真的不行 給時間準備還發這種稿
06/25 21:59, 24F
06/25 21:59, 1年前 , 25F
BG又炸開了
06/25 21:59, 25F
06/25 22:00, 1年前 , 26F
下次成員開台就有瘋子要問栃木縣出身的中島OO是不是有來
06/25 22:00, 26F
06/25 22:00, 1年前 , 27F
就職了
06/25 22:00, 27F
06/25 22:00, 1年前 , 28F
krkr看起來是最後一個問的 表示拿到情報直接公開?XD
06/25 22:00, 28F
06/25 22:01, 1年前 , 29F
krkr說一星期前有通知vspo但沒反應
06/25 22:01, 29F
06/25 22:02, 1年前 , 30F
我是覺得那三個人都是krkr
06/25 22:02, 30F
06/25 22:03, 1年前 , 31F
衝萬塔 何其壯觀
06/25 22:03, 31F
06/25 22:03, 1年前 , 32F
我剛剛用個人帳號試只有2個選項 白名單或全公開
06/25 22:03, 32F
06/25 22:04, 1年前 , 33F
從小編層層上報到高層一周可能不夠(′・ω・`)
06/25 22:04, 33F
06/25 22:05, 1年前 , 34F
正常都要用白名單吧
06/25 22:05, 34F
06/25 22:06, 1年前 , 35F
這種洩漏範圍,起碼幾千人要準備搬家了吧?
06/25 22:06, 35F
06/25 22:06, 1年前 , 36F
或者要賠到解散了
06/25 22:06, 36F
06/25 22:07, 1年前 , 37F
大概有員工懶得一個一個加白名單 以為url不會被猜到XD
06/25 22:07, 37F
06/25 22:07, 1年前 , 38F
看公告這樣寫大概公司大部分的人都不知道錯在哪
06/25 22:07, 38F
06/25 22:07, 1年前 , 39F
要促成小V搬家潮了吧 一個資安炸彈炸出從業者大遷徙的奇
06/25 22:07, 39F
還有 206 則推文
還有 1 段內文
06/25 23:45, 1年前 , 246F
所以6/18以前他們不是幹什麼吃的,是什麼都沒幹
06/25 23:45, 246F
06/25 23:46, 1年前 , 247F
DM是給VSPO的啊,所以VSPO的推特小編沒檢查DM不算問題嗎?
06/25 23:46, 247F
06/25 23:47, 1年前 , 248F
可是如果表單之前就開那為什麼是6/4號開始算
06/25 23:47, 248F
06/25 23:47, 1年前 , 249F
你用過推特DM就知道,沒追隨的大部分都會跑去垃圾箱
06/25 23:47, 249F
06/25 23:48, 1年前 , 250F
裡,小編不太可能去檢查垃圾箱的內容,會沒收到還算
06/25 23:48, 250F
06/25 23:48, 1年前 , 251F
表單一直都有 6/4連結流出 不難懂吧
06/25 23:48, 251F
06/25 23:48, 1年前 , 252F
合理,只是快一個月自己都沒發現...
06/25 23:48, 252F
06/25 23:49, 1年前 , 253F
我知道啊 我的問題是連結流出只會看到流出日期後的資
06/25 23:49, 253F
06/25 23:49, 1年前 , 254F
料嗎
06/25 23:49, 254F
06/25 23:49, 1年前 , 255F
對不起我可能太孤狼了,沒啥人DM,有DM都會跳通知也不是
06/25 23:49, 255F
06/25 23:49, 1年前 , 256F
分到垃圾箱裡
06/25 23:49, 256F
06/25 23:49, 1年前 , 257F
應該是檢查紀錄最早發現是6/4開始有外部人士瀏覽吧
06/25 23:49, 257F
06/25 23:50, 1年前 , 258F
我的推特DM被丟到請求那邊的倒是一大堆,特別現在推
06/25 23:50, 258F
06/25 23:50, 1年前 , 259F
特又一堆掛藍勾勾的BOT
06/25 23:50, 259F
06/25 23:53, 1年前 , 260F
喔 抱歉 我誤解官網的意思了
06/25 23:53, 260F
06/25 23:54, 1年前 , 261F
他是指發生期間可能是6/4號開始 我誤解成6/4號後的資
06/25 23:54, 261F
06/25 23:54, 1年前 , 262F
料才流出
06/25 23:54, 262F
06/26 00:06, 1年前 , 263F
怎麼辦
06/26 00:06, 263F
06/26 00:06, 1年前 , 264F
那份表單從2021年開始記錄的樣子 所以應該大多數都中了
06/26 00:06, 264F
06/26 00:08, 1年前 , 265F
青桐:還好我退了
06/26 00:08, 265F
06/26 00:09, 1年前 , 266F
EN正要登場之際來這一齣 慘
06/26 00:09, 266F
06/26 00:13, 1年前 , 267F
祖國IT
06/26 00:13, 267F
06/26 00:17, 1年前 , 268F
自己出包怪別人搞 笑死
06/26 00:17, 268F
06/26 00:17, 1年前 , 269F
一個V箱的推特DM怎麼可能每一篇都看 瘋了嗎...真的要聯絡
06/26 00:17, 269F
06/26 00:18, 1年前 , 270F
一定找得到業務用聯絡信箱或聯絡方式的
06/26 00:18, 270F
06/26 00:18, 1年前 , 271F
所以連以前報名的都中喔 那不是超大條的嗎
06/26 00:18, 271F
06/26 00:24, 1年前 , 272F
alan3100 還真嗆啊 哈
06/26 00:24, 272F
06/26 01:13, 1年前 , 273F
google線上文件用起來很方便,不懂控制權限炸起來也很精
06/26 01:13, 273F
06/26 01:13, 1年前 , 274F
06/26 01:13, 274F
06/26 01:26, 1年前 , 275F
我aws用戶 看s3進化再進化一堆提醒別不小心公開 很有感
06/26 01:26, 275F
06/26 02:38, 1年前 , 276F
這表單看應該不只近期的,而是過去到現在的應徵名單
06/26 02:38, 276F
06/26 02:38, 1年前 , 277F
都在上面
06/26 02:38, 277F
06/26 07:50, 1年前 , 278F
據公告那表單只需填入都道府縣 但有個別人士當地址在填
06/26 07:50, 278F
06/26 07:50, 1年前 , 279F
所以地址也在這次事件暴露的應該不是多數
06/26 07:50, 279F
06/26 09:15, 1年前 , 280F
如果是企業的google可以直接設定只有這個企業才看得到
06/26 09:15, 280F
06/26 10:03, 1年前 , 281F
現在是在抱怨好心通知的人連官方管道都不會用嗎?
06/26 10:03, 281F
06/26 10:17, 1年前 , 282F
自己出包怪別人沒通知到位也太奇葩了吧
06/26 10:17, 282F
06/26 11:48, 1年前 , 283F
推特私訊是有什麼問題嗎?話說基本都洩漏光了,住址
06/26 11:48, 283F
06/26 11:48, 1年前 , 284F
電話
06/26 11:48, 284F
※ 編輯: kerycheng (114.36.217.92 臺灣), 06/26/2024 14:34:40
更多 kerycheng 的文章
文章代碼(AID): #1cUifL6S (C_Chat)
更多 kerycheng 的文章
文章代碼(AID): #1cUifL6S (C_Chat)