[新聞] 戰國策爆發客戶資料外洩事件

看板Soft_Job作者 (Feel)時間17年前 (2009/01/15 20:53), 編輯推噓21(21020)
留言41則, 10人參與, 最新討論串1/5 (看更多)
戰國策爆發客戶資料外洩事件 文/劉哲銘 (記者) 2009-01-12 知名主機代管商戰國策,爆發客戶資料外洩事件,包括代管主機的登入密碼與客戶的 資料,都在搜尋引擎上找得到,目前多數搜尋引擎已經清除這些個資,建議使用者立 即更換密碼 國內知名的網站主機代管服務廠商戰國策,日前爆發訂單系統資料外洩事件。當時透 過Google輸入特定的關鍵字,可以找到4,270筆「訂單詳細資料」網頁,而這些網頁的 資訊包括了客戶公司名稱、聯絡人姓名、身分證字號、電話、地址、電子郵件、交易 方式、金額、主機方案,以及代管主機的IP位址、帳號、密碼、網域名稱等資訊。建 議使用該代管服務的使用者,應該立即更換密碼。 戰國策行銷部經理吳婉真表示,該公司於1月9日上午就已經發現此一事件,旋即做出 處理,並且通知Google,要求將快取檔案移除,Google已於1月10日將相關快取頁面移 除。吳婉真說:「我們內部系統一直以來都有IP認證,這次會發生這樣的問題,是因 為Google的網路蜘蛛程式不知何故造成,詳細的原因我們也還在調查中。之後我們會 持續改進,強化資訊安全的防護,對客戶負責到底。」 由於戰國策不願說明造成此事件的原因,目前也只能透過幾個方面猜測原因。一位不 願透露姓名的主機代管廠商主管表示,如果有做到登入身分的控管,例如IP位址與登 入帳號、密碼的比對等,Google的網路蜘蛛程式不可能有辦法存取內部訂單系統的資 訊。他說:「最有可能的是系統做了異動之後,忘記加上身分認證的功能,然後內部 管理人員的瀏覽器安裝了類似Google Toolbar的工具軟體,使得Google的伺服器可以 收集到內部系統的網址,網路蜘蛛才有辦法循線收集到這些網頁。」 一般人可能沒有注意, Google在隱私權條款中寫到,「當您造訪我們網站或使用我們 的其他產品時,Google伺服器會自動記錄資料,包括URL、IP地址、瀏覽器的類型和使 用的語言以及造訪日期和時間。」 為了防止網路蜘蛛程式搜尋資訊,多數網站會在網頁上放上宣告網路蜘蛛禁止存取範圍 的「robots.txt」文件檔,根據記者的調查,現在戰國策網站上的robots.txt最後的修 改時間是在1月9日下午7點。但並無法確定當時這個宣告檔是否有起任何作用。 截至記者發稿前,仍可在較不知名的搜尋引擎上找到這些「訂單詳細資料」的網頁,建 議該公司的客戶應該立刻更改系統的密碼,以免網站被入侵。 新聞來源:http://www.ithome.com.tw/itadm/article.php?c=53022 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.126.3.146
01/15 21:35, , 1F
資訊鐵胃 不意外
01/15 21:35, 1F
01/15 22:47, , 2F
放個txt檔在網路上不是擺明要給人搞嗎...
01/15 22:47, 2F
01/15 22:55, , 3F
樓上的意思是?
01/15 22:55, 3F
01/15 23:42, , 4F
放了就不會稿了嗎XD
01/15 23:42, 4F
01/16 00:04, , 5F
出包了還牽拖google
01/16 00:04, 5F
01/16 02:23, , 6F
三樓的 去google一下robots.txt裡面是寫什麼你就知道了
01/16 02:23, 6F
01/16 02:26, , 7F
01/16 02:26, 7F
01/16 10:26, , 8F
robots.txt 還需要 google 才知道嗎 ? 放 robots.txt 就是
01/16 10:26, 8F
01/16 10:27, , 9F
要管制 web crawler 的行為, 何來擺明要給人搞?
01/16 10:27, 9F
01/16 10:35, , 10F
敏感資料拉到網頁上秀這件事來就是錯的吧?
01/16 10:35, 10F
01/16 10:36, , 11F
到底是什麼需要,會要把User PWD全List出來?
01/16 10:36, 11F
01/16 12:12, , 12F
他不是說身份認證出問題 + 有人笨笨的用 google toolbar 嗎
01/16 12:12, 12F
01/16 12:17, , 13F
我猜 他登入後可能根本沒做驗證 想說
01/16 12:17, 13F
01/16 12:17, , 14F
反正連結只有內部有 外部應該猜不到 不用驗沒差
01/16 12:17, 14F
01/16 12:18, , 15F
天曉得就被Google Toolbar + 爬蟲給婊了 XD
01/16 12:18, 15F
01/16 12:19, , 16F
把User的帳號密碼(明碼)用動態網頁List出來。
01/16 12:19, 16F
01/16 12:20, , 17F
這件事情本身就有問題。
01/16 12:20, 17F
01/16 12:21, , 18F
不管有沒有驗證,到底管理者有什麼需要列出『密碼』?
01/16 12:21, 18F
01/16 12:25, , 19F
這個問題容易回答, 因為這個系統很可能是給客服方便使用的
01/16 12:25, 19F
01/16 12:25, , 20F
事實上也有很多客戶喜歡跟你要密碼... XD
01/16 12:25, 20F
01/16 12:28, , 21F
如果是這樣的話 那很可能... 我去弄來某人的基本資料
01/16 12:28, 21F
01/16 12:28, , 22F
然後打電話給客服 跟他要密碼 = ="
01/16 12:28, 22F
01/16 12:29, , 23F
就是所謂的社交工程 講白一點就是騙密碼 XD
01/16 12:29, 23F
01/16 12:33, , 24F
這樣想還真是糟糕 要騙到密碼應該不難 真危險 囧
01/16 12:33, 24F
01/16 13:04, , 25F
抱歉沒說清楚 應該說"只用"robot.txt"來管制
01/16 13:04, 25F
01/16 13:04, , 26F
無疑是擺明想被搞
01/16 13:04, 26F
01/16 13:13, , 27F
聽說個資法正在修法 戰國策應該慶幸還沒通過...
01/16 13:13, 27F
01/16 13:19, , 28F
我想他並不是只用 "robots.txt"
01/16 13:19, 28F
01/16 13:20, , 29F
不過上新聞到底是好還是不好, 這倒是很難說.... XD
01/16 13:20, 29F
01/16 13:24, , 30F
看內容啦...現在大眾對個資的重視愈來愈高
01/16 13:24, 30F
01/16 13:24, , 31F
我想這個新聞對戰國策來講絕對不是正面的XD
01/16 13:24, 31F
01/16 13:26, , 32F
不管怎麼說 現在寫程式要很小心啊 尤其是做EC的
01/16 13:26, 32F
01/17 00:13, , 33F
最近因為google toolbar而出很多問題,公司也有遇過問題~
01/17 00:13, 33F
01/17 08:35, , 34F
管它 robo 不 robo....密碼可以跟客服問啊? 基本的資訊安
01/17 08:35, 34F
01/17 08:37, , 35F
全觀念就不及格了...還是說這是現在的水準啊?
01/17 08:37, 35F
01/17 08:53, , 36F
太好笑了 不想讓人瀏覽的uri應該是用web server或是防火牆檔
01/17 08:53, 36F
01/17 08:55, , 37F
怎會單用robot.txt來設定 跟google一點也沒關係 robot不主動
01/17 08:55, 37F
01/17 08:55, , 38F
爬 也可以透過第三者瀏覽的到網頁再去爬 再者公司內網ip
01/17 08:55, 38F
01/17 08:56, , 39F
外面怎連的到... 這家公司有基本網管?
01/17 08:56, 39F
01/20 14:18, , 40F
我不太懂耶 是因為這樣造成後台管理網頁的資料外洩嗎?
01/20 14:18, 40F
01/20 14:19, , 41F
而且取得客戶資料?應該是資料庫也被入侵了吧?
01/20 14:19, 41F
更多 EijiHoba 的文章
文章代碼(AID): #19Rp76Z0 (Soft_Job)
討論串 (同標題文章)
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 1 之 5 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 EijiHoba 的文章
文章代碼(AID): #19Rp76Z0 (Soft_Job)