[新聞] 戰國策爆發客戶資料外洩事件

作者EijiHoba (Feel)

看板Soft_Job

標題[新聞] 戰國策爆發客戶資料外洩事件

時間Thu Jan 15 20:53:24 2009

戰國策爆發客戶資料外洩事件文/劉哲銘 (記者) 2009-01-12 知名主機代管商戰國策，爆發客戶資料外洩事件，包括代管主機的登入密碼與客戶的資料，都在搜尋引擎上找得到，目前多數搜尋引擎已經清除這些個資，建議使用者立即更換密碼國內知名的網站主機代管服務廠商戰國策，日前爆發訂單系統資料外洩事件。當時透過Google輸入特定的關鍵字，可以找到4,270筆「訂單詳細資料」網頁，而這些網頁的資訊包括了客戶公司名稱、聯絡人姓名、身分證字號、電話、地址、電子郵件、交易方式、金額、主機方案，以及代管主機的IP位址、帳號、密碼、網域名稱等資訊。建議使用該代管服務的使用者，應該立即更換密碼。戰國策行銷部經理吳婉真表示，該公司於1月9日上午就已經發現此一事件，旋即做出處理，並且通知Google，要求將快取檔案移除，Google已於1月10日將相關快取頁面移除。吳婉真說：「我們內部系統一直以來都有IP認證，這次會發生這樣的問題，是因為Google的網路蜘蛛程式不知何故造成，詳細的原因我們也還在調查中。之後我們會持續改進，強化資訊安全的防護，對客戶負責到底。」由於戰國策不願說明造成此事件的原因，目前也只能透過幾個方面猜測原因。一位不願透露姓名的主機代管廠商主管表示，如果有做到登入身分的控管，例如IP位址與登入帳號、密碼的比對等，Google的網路蜘蛛程式不可能有辦法存取內部訂單系統的資訊。他說：「最有可能的是系統做了異動之後，忘記加上身分認證的功能，然後內部管理人員的瀏覽器安裝了類似Google Toolbar的工具軟體，使得Google的伺服器可以收集到內部系統的網址，網路蜘蛛才有辦法循線收集到這些網頁。」一般人可能沒有注意， Google在隱私權條款中寫到，「當您造訪我們網站或使用我們的其他產品時，Google伺服器會自動記錄資料，包括URL、IP地址、瀏覽器的類型和使用的語言以及造訪日期和時間。」為了防止網路蜘蛛程式搜尋資訊，多數網站會在網頁上放上宣告網路蜘蛛禁止存取範圍的「robots.txt」文件檔，根據記者的調查，現在戰國策網站上的robots.txt最後的修改時間是在1月9日下午7點。但並無法確定當時這個宣告檔是否有起任何作用。截至記者發稿前，仍可在較不知名的搜尋引擎上找到這些「訂單詳細資料」的網頁，建議該公司的客戶應該立刻更改系統的密碼，以免網站被入侵。新聞來源：http://www.ithome.com.tw/itadm/article.php?c=53022 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.126.3.146

推 StubbornLin:資訊鐵胃不意外 01/15 21:35

推 Ageis:放個txt檔在網路上不是擺明要給人搞嗎... 01/15 22:47

推 ledia:樓上的意思是? 01/15 22:55

推 fishyki:放了就不會稿了嗎XD 01/15 23:42

推 yangfan:出包了還牽拖google 01/16 00:04

推 Ageis:三樓的去google一下robots.txt裡面是寫什麼你就知道了 01/16 02:23

推 Ageis:http://0rz.tw/c95mj 01/16 02:26

→ ledia:robots.txt 還需要 google 才知道嗎 ? 放 robots.txt 就是 01/16 10:26

→ ledia:要管制 web crawler 的行為, 何來擺明要給人搞? 01/16 10:27

推 zanyking:敏感資料拉到網頁上秀這件事來就是錯的吧? 01/16 10:35

→ zanyking:到底是什麼需要，會要把User PWD全List出來？ 01/16 10:36

推 ledia:他不是說身份認證出問題 + 有人笨笨的用 google toolbar 嗎 01/16 12:12

推 StubbornLin:我猜他登入後可能根本沒做驗證想說 01/16 12:17

→ StubbornLin:反正連結只有內部有外部應該猜不到不用驗沒差 01/16 12:17

→ StubbornLin:天曉得就被Google Toolbar + 爬蟲給婊了 XD 01/16 12:18

推 zanyking:把User的帳號密碼(明碼)用動態網頁List出來。 01/16 12:19

→ zanyking:這件事情本身就有問題。 01/16 12:20

→ zanyking:不管有沒有驗證，到底管理者有什麼需要列出『密碼』？ 01/16 12:21

推 ledia:這個問題容易回答, 因為這個系統很可能是給客服方便使用的 01/16 12:25

→ ledia:事實上也有很多客戶喜歡跟你要密碼... XD 01/16 12:25

推 StubbornLin:如果是這樣的話那很可能... 我去弄來某人的基本資料 01/16 12:28

→ StubbornLin:然後打電話給客服跟他要密碼 = =" 01/16 12:28

→ StubbornLin:就是所謂的社交工程講白一點就是騙密碼 XD 01/16 12:29

推 StubbornLin:這樣想還真是糟糕要騙到密碼應該不難真危險囧 01/16 12:33

→ Ageis:抱歉沒說清楚應該說"只用"robot.txt"來管制 01/16 13:04

→ Ageis:無疑是擺明想被搞 01/16 13:04

推 Ageis:聽說個資法正在修法戰國策應該慶幸還沒通過... 01/16 13:13

推 ledia:我想他並不是只用 "robots.txt" 01/16 13:19

→ ledia:不過上新聞到底是好還是不好, 這倒是很難說.... XD 01/16 13:20

推 Ageis:看內容啦...現在大眾對個資的重視愈來愈高 01/16 13:24

→ Ageis:我想這個新聞對戰國策來講絕對不是正面的XD 01/16 13:24

→ Ageis:不管怎麼說現在寫程式要很小心啊尤其是做EC的 01/16 13:26

推 ppkkykei:最近因為google toolbar而出很多問題,公司也有遇過問題~ 01/17 00:13

推 Arminius:管它 robo 不 robo....密碼可以跟客服問啊? 基本的資訊安 01/17 08:35

→ Arminius:全觀念就不及格了...還是說這是現在的水準啊? 01/17 08:37

推 teman:太好笑了不想讓人瀏覽的uri應該是用web server或是防火牆檔 01/17 08:53

→ teman:怎會單用robot.txt來設定跟google一點也沒關係 robot不主動 01/17 08:55

→ teman:爬也可以透過第三者瀏覽的到網頁再去爬再者公司內網ip 01/17 08:55

→ teman:外面怎連的到... 這家公司有基本網管？ 01/17 08:56

推 tom600488:我不太懂耶是因為這樣造成後台管理網頁的資料外洩嗎? 01/20 14:18

→ tom600488:而且取得客戶資料?應該是資料庫也被入侵了吧? 01/20 14:19