Re: [新聞] 7萬公務員薪資帳戶外洩北市資訊局竟不知

看板PublicServan作者micheline (小米)時間9年前 (2017/01/11 19:57)推噓1(1推 0噓 8→)

留言9則, 2人參與討論串2/2 (看更多)

IThome這篇解釋的蠻清楚的 http://www.ithome.com.tw/news/111107 以下截取重點到底外洩的資料是什麼？李維斌指出，目前臺北市資訊局調查的結果，大約有190筆的薪資報表的連結外洩，不過每筆報表的受影響人數並不確定，但可以確定的是，臺北市府員工的薪資資料庫並沒有外洩。李維斌進一步解釋，這些外洩的資料其實是由出納人員製作的當月薪資報表，以往只有各單位特定人員，有權連上這個放在DMZ區的薪資發放管理系統，輸入帳號密碼後，可以調閱內網員工薪資資料做成當月薪資報表後，報表完成會就會產生一個報表連結，有這個報表連結的人就可以下載該份薪資報告。他也說，以往資訊局把有這個報表連結的人，視為是內部人士才可能有這個連結，所以，以前是有連結的人，可以直接下載該檔案，「這是一個內部系統存取權限設定錯誤的案例，才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋，這是一種所謂的商業邏輯錯誤（Business Logic Fault），是一種作業流程或程式邏輯出現的錯誤，目前用工具的弱點掃描（Vulnerability Assessment ）並無法檢測出這類的漏洞，依賴人工的滲透測試（Penetration Test）才比較有機會找到這類的弱點，但往往需要長時間、高頻率的檢測，也高度仰賴滲透測試工程師的功力，難度相當高。問題點主要就兩個 1.薪資系統放DMZ區，開放外網連結 2.報表檔有連結即可下載，沒有像一般系統一定要登入檢查權限 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.184.12.140 ※ 文章網址: https://www.ptt.cc/bbs/PublicServan/M.1484135829.A.FDA.html ※ 編輯: micheline (111.184.12.140), 01/11/2017 19:59:52

推

maniaque

01/11 20:26, , 1^F

01/11 20:26, 1^F

→

maniaque

01/11 20:27, , 2^F

01/11 20:27, 2^F

→

maniaque

01/11 20:27, , 3^F

01/11 20:27, 3^F