fw: 城邦網留言「囧」暱稱 熱心駭客獲緩起訴

看板book作者 (「雄辯是銀,沉默是金」)時間11年前 (2013/02/20 16:08), 編輯推噓23(23049)
留言72則, 34人參與, 5年前最新討論串1/1
※ [本文轉錄自 Soft_Job 看板 #1H8tpmp7 ] 作者: TonyQ (自立而後立人) 看板: Soft_Job 標題: [討論] 易用與安全 時間: Tue Feb 19 21:23:58 2013 很多人會在城邦買書, 可以注意一下這次的事件。 ----------------------------------------------------- 這次的事件可以看 城邦網留言「囧」暱稱 熱心駭客獲緩起訴 http://www.appledaily.com.tw/realtimenews/article/new/20130219/166827/ 轉錄新聞內文: 28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、 「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司, 但發現城邦遲未改善,劉男竟在去年11月7日化身駭客, 以「跨網站指令碼」(Cross-Site Scripting,簡稱XSS)攻擊該網站, 導致上「POPO」、「起點」網站留言的網友,暱稱全變成「囧」。 2個小時後,劉男發電郵向城邦公司自首,並提供解決方式,仍遭城邦提告。 北檢審酌劉男只是「白帽駭客」(指為他人測試並增進資訊安全), 想提醒該公司網路安全有漏洞, 動機出於善意,無意造成嚴重損害,且犯後立刻提供解決方法並道歉, 經城邦同意後,今天依妨害電腦使用罪將劉男緩起訴, 但須寫2000字以上悔過書,並提供40小時義務勞務。 ------------------------------------------------------------------ 補充,已知 Hacker 事先有先詳細告知過 POPO bug,只是不被理會。 ------------------------------------------------------------------ Hacker 自己的說明稿 https://gist.github.com/tony1223/2fac92e17822ec889ee6 來源是 http://goo.gl/FScCv ------------------------------------------------------------------ 我跟朋友之間對這件事情有了爭論,我認為他可以寫文章直接揭露這個漏洞, 自己去打絕對是最最下策的行為,而這麼做受到法律的制裁,也是必須之事。 而也有另一票朋友的看法是比較接近這篇的 http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html --------------------------------- 我是認為無論如何,對網站安全性的揭露是很重要得, SQL Injection / XSS attack / CSRF 攻擊等都是太常見的攻擊, 這件事也是搞到一個網站直接關站數天處理的,不要小看他。 以我自己的立場是如果不能確保這三者是安全的, 我在內部會不計一切代價說服公司優先處理這問題。 因為我曾經看過也經歷過幾十萬筆的資料在沒有備份的狀況下被消去。 只是作法問題,我們真的需要做到這麼極端嗎? 對於這樣的人,我們應該看待他是罪犯或是英雄? 我有我的見解,但我不覺得那是唯一的見解,所以我們來討論吧。 -- 其他相關討論 https://www.facebook.com/allenown/posts/10151245825621459 -- 網頁上拉近距離的幫手 實現 GMail豐富應用的功臣 數也數不清的友善使用者體驗 這就是javascript 歡迎同好到 AJAX 板一同討論。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.34.116.11 ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:24) ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:25)
02/19 21:43, , 1F
比較極端的想法,既然對方都不想管了,又何必去
02/19 21:43, 1F
02/19 21:44, , 2F
多管閒事呢?等到對方出事了就知道痛
02/19 21:44, 2F
02/19 21:44, , 3F
當然這種白帽作法也是很熱心的,我覺得用官司處理
02/19 21:44, 3F
02/19 21:44, , 4F
實在不太適當
02/19 21:44, 4F
02/19 21:45, , 5F
但是劉姓工程師直接去做攻擊也太過衝動
02/19 21:45, 5F
02/19 22:02, , 6F
對於對資安沒興趣照料的公司 讓他放著洞被HACK也只是剛好= =
02/19 22:02, 6F
02/19 22:03, , 7F
至於當白帽好心這種事...我只能說沒立場別出手比較好 ~_~"
02/19 22:03, 7F
02/19 22:17, , 8F
PG:在職不要打就好 要打等我離職 (煙
02/19 22:17, 8F
02/19 22:20, , 9F
他怎不開補習班
02/19 22:20, 9F
02/19 22:36, , 10F
如果是我 只會私下告知 要是該公司都不怕了
02/19 22:36, 10F
02/19 22:36, , 11F
我怕甚麼XD
02/19 22:36, 11F
02/19 22:37, , 12F
我是覺得該工程師做好事前沒有保護好自己
02/19 22:37, 12F
02/19 22:59, , 13F
或許是對他們的東西還有期待吧.. 不然不管他很簡單不是嗎
02/19 22:59, 13F
02/19 23:06, , 14F
可能產業文化就是想要過得去而已,但專業觀點容不下這粒砂,
02/19 23:06, 14F
02/19 23:09, , 15F
主動做這種糾舉反而是個干擾. 像XDite之流該拿捏嘲弄輕重等
02/19 23:09, 15F
02/19 23:22, , 16F
如果我看到正妹沒穿褲子,我應該不會跑過去吹氣
02/19 23:22, 16F
02/19 23:23, , 17F
然後跟正妹說我只是吹氣而已,別人會幹什麼就不知道了
02/19 23:23, 17F
02/20 00:10, , 18F
所以那兩個站的洞到底封了沒 XD
02/20 00:10, 18F
02/20 00:14, , 19F
我絆你一跤再跟你說走路要看路, 這樣也可以嗎?
02/20 00:14, 19F
02/20 00:15, , 20F
有很多更正當的反應管道, 說劉男當時不是為了好玩興起
02/20 00:15, 20F
02/20 00:16, , 21F
我才不相信XD 又不是第一天看到駭客
02/20 00:16, 21F
02/20 04:22, , 22F
強烈懷疑樓上有沒有真的看過駭客(電影、新聞不算)
02/20 04:22, 22F
02/20 04:23, , 23F
如果你看到別人家瓦斯漏氣,不講才真的是缺德
02/20 04:23, 23F
02/20 08:07, , 24F
寫文章如果在處理前先被人惡用, 也變成是他害的啊
02/20 08:07, 24F
02/20 08:07, , 25F
看到別人家瓦斯漏氣點完火再講,是真的不缺德嗎?
02/20 08:07, 25F
02/20 08:07, , 26F
損害搞不好還更大
02/20 08:07, 26F
02/20 08:08, , 27F
真的白帽才不是這樣玩
02/20 08:08, 27F
02/20 09:09, , 28F
DarkFrameMaster XDDDD
02/20 09:09, 28F
02/20 09:31, , 29F
die hard 4.0表示:
02/20 09:31, 29F
02/20 10:05, , 30F
城邦這____公司不意外,格局有夠小,希望他們再出個大包
02/20 10:05, 30F
02/20 10:06, , 31F
這處罰有夠重,40小時義務勞動+2000字悔過,技術人員最需要的
02/20 10:06, 31F
02/20 10:07, , 32F
就是休息時間啊
02/20 10:07, 32F
02/20 10:07, , 33F
還是城邦蠢到以為你白帽不講就沒有cracker會發現?
02/20 10:07, 33F
02/20 10:08, , 34F
台灣商務高層不意外啊Zzz
02/20 10:08, 34F
02/20 10:09, , 35F
...該不會是建議信寫給連SQL都沒寫過的客服人員?
02/20 10:09, 35F
※ 編輯: TonyQ 來自: 175.182.230.46 (02/20 13:24)
02/20 13:54, , 36F
在網路上公開網站的漏洞跟攻擊方式 會造成法律上的問題嗎?
02/20 13:54, 36F
02/20 14:09, , 37F
任何事情的出發動機 不然就是利益 不然就是好玩或是成就感
02/20 14:09, 37F
02/20 14:10, , 38F
駭客又不是聖人 無我無私 沒利可圖的狀況下 當然是求好玩
02/20 14:10, 38F
02/20 14:11, , 39F
不然誰吃飽沒事幹 做這些事情 只是同樣是玩 手段也有高低
02/20 14:11, 39F
02/20 14:11, , 40F
比較客氣的 只是鬧一些惡作劇或是警告 還算客氣的
02/20 14:11, 40F
02/20 14:12, , 41F
雖然不認同這種行為 但是老實說已經算是客氣了
02/20 14:12, 41F
02/20 14:56, , 42F
XDite 躺著中槍了w
02/20 14:56, 42F
※ 編輯: descent 來自: 59.125.239.51 (02/20 16:09)
02/20 17:01, , 43F
被告當然制度面上是應當的,但城邦這種大公司這樣處理
02/20 17:01, 43F
02/20 17:02, , 44F
就公關策略上我覺得他們很失敗。
02/20 17:02, 44F
02/20 17:03, , 45F
造成公眾私心同情駭客,公司形象反而下滑。
02/20 17:03, 45F
02/20 18:41, , 46F
有些人是真的無法將已經看見的事物當成沒有看見
02/20 18:41, 46F
02/20 18:46, , 47F
義賊與惡賊都能說是"犯法" 但"犯罪"這種字眼若是我只會放
02/20 18:46, 47F
02/20 18:46, , 48F
在後者身上
02/20 18:46, 48F
02/20 22:27, , 49F
除非國內肯學國外花錢請白帽,不然資料損失是公司活該
02/20 22:27, 49F
02/20 22:40, , 50F
你今天寫文章揭發好了,壞心的大攻擊讓公司+網友資料損失
02/20 22:40, 50F
02/20 22:40, , 51F
是不是又要找寫文章的人麻煩?
02/20 22:40, 51F
02/20 22:41, , 52F
也增加了被攻擊的機率。但就解決問題來說,還比揭發好
02/20 22:41, 52F
02/20 23:43, , 53F
駭完不要處理 就不會被罰了吧 這不自首應該很難抓?
02/20 23:43, 53F
02/20 23:55, , 54F
城邦這種處理方式真的會讓反感...
02/20 23:55, 54F
02/21 00:42, , 55F
城邦公司形象下滑+1
02/21 00:42, 55F
02/21 00:53, , 56F
城邦形象下滑再+1 在POPO有會員 這處理態度真讓人擔心
02/21 00:53, 56F
02/21 01:06, , 57F
如果被駭 不只是城邦的損失吧? 會員的個資洩漏出去難道不
02/21 01:06, 57F
02/21 01:06, , 58F
是會員的損失? 城邦這種處理法根本棄會員資安於不顧
02/21 01:06, 58F
02/21 08:32, , 59F
他人也真憨直,都勸過了不聽就隨他去了吧
02/21 08:32, 59F
02/21 10:40, , 60F
城邦要改善吧,要是到時被人駭出一堆會員資料就麻煩了
02/21 10:40, 60F
02/21 12:19, , 61F
很好奇何飛鵬會怎麼看待這件事
02/21 12:19, 61F
02/21 19:37, , 62F
若把漏動公開受害的是廣大使用者;城邦不徹告有損企業形象
02/21 19:37, 62F
02/22 00:27, , 63F
他已經寫過 E-mail 告知了,不這樣做城邦根本不痛不癢。
02/22 00:27, 63F
02/22 00:32, , 64F
城邦不僅傷及自己的形象,更會使台灣白帽駭客卻步。
02/22 00:32, 64F
02/22 00:33, , 65F
如此可能會造成其他網站更易遭到惡意入侵。此風不可長。
02/22 00:33, 65F
02/22 09:12, , 66F
推Fernandeo大。城邦該感謝這位熱心的駭客才對
02/22 09:12, 66F
02/22 09:58, , 67F
我覺得形象下滑是他們網站安全性不佳跟沒有用心處理
02/22 09:58, 67F
02/22 09:58, , 68F
但是該告還是要告 不然大家都去那邊練功弄網站好了...
02/22 09:58, 68F
08/12 20:23, , 69F
如此可能會造成其他網站 https://muxiv.com
08/12 20:23, 69F
09/14 21:06, , 70F
還是城邦蠢到以為你白帽 https://daxiv.com
09/14 21:06, 70F
11/06 16:36, , 71F
推Fernandeo大 https://muxiv.com
11/06 16:36, 71F
12/31 03:11, 5年前 , 72F
城邦要改善吧,要是到時 http://yofuk.com
12/31 03:11, 72F
更多 descent 的文章
文章代碼(AID): #1H98IQmb (book)