本篇討論個資法與駭客手法之bleed1979的一點想法 先來個小故事(如有雷同純屬巧合)： xxxxxxxxxxxxxxxxxxxxxxxxx 以下鳥故事分隔線 xxxxxxxxxxxxxxxxxxxxxxxxxxxx 那天，小布有一台高檔的腳踏車，並上了最強悍的腳踏車鎖。 某腳踏車慣竊看上了小布的腳踏車，使用各種工具都無法拆下那個腳踏車鎖。 於是，他把自己身上所帶的所有腳踏車鎖都鎖到那台腳踏車上。。。。 xxxxxxxxxxxxxxxxxxxxxxxxx 以上鳥故事分隔線 xxxxxxxxxxxxxxxxxxxxxxxxxxxx 現在我們來討論個資法和駭客手法於email上的變化。 個資法全文 http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021 對於個資法實作上的處理， 以bleed1979曾是公家單位外包廠商來說， 曾有的經驗是在資料庫裡作用。 測試資料庫的資料欄位加上***號來掩蓋， 而於真實資料庫的資料欄位資料不改變。 測試資料庫是給外包廠商使用， 於是bleed1979看到的email就會是加***號的資料。 駭客之所以搞怪， 在於他們的想法除了反邏輯以外， 還有意料之外的思維。 舉個例來說，如果你的臉書是使用email當帳號的話。 當駭客成功破解了你的帳號，要玩你很容易。 不是操作你的帳號去鬧你的FB朋友， 而是不改動你的密碼，但將你的帳號(email)改掉， 特別是改成真實有人在用的email。 原本：[email protected] 被駭客動作：[email protected] (假設這是一個真實有人在用的email) 而當你嘗試登入，臉書目前的機制會變成這樣： b*******[email protected] 請你補完***號的部分並輸入正確密碼才能拿回帳號。 有趣了， 這是真實有人在使用的email，就算完全猜出[email protected] 該確認信也會寄到他人信箱，正好將帳號送給他。 而一般人大概是連bleed1080都無法猜出。 So，除了嘗試別種登入方法(自己駭自己臉書帳號？！笑)， 寫信給臉書官方單位(個人用戶你確定臉書官方真的會理你？笑翻) 以外， 只好重開一個臉書帳號。 而當你原本的帳號一直掛著無人職守，而你又換了一個臉書帳號， 勢必引起周圍朋友的懷疑，到底在玩什麼把戲？！ 於是再一次的臉書帳號之重加朋友群可能會有所變化， 如此一來被駭客輕易得逞，如果他忌妒你臉書朋友多的話。 面對這樣"高貴優雅"的駭客手法，是能怎麼破解呢？ 提供版友們討論。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.203.156 ※ 文章網址: http://www.ptt.cc/bbs/Soft_Job/M.1419204684.A.5F6.html 重點是我是使用者呀，你所說的是能動DB的人員不是嗎？！ 駭客駭的是那一個資料庫不知道，但文中並未說只有駭測試資料庫的。 問題說穿了就是駭客利用該網站的驗證漏洞令使用者無法使用帳號。 xxxxxxxxxxxxxxxxxx 以下事實 分隔線 xxxxxxxxxxxxxxxxxxxxxxxxx 其實我舉臉書的例子，就是因為我之前的臉書帳號被搞到拿不回來。 或許Soft_Job會有高手可以一步步幫我拿回屬於bleed1979原本的臉書帳號？！(笑) xxxxxxxxxxxxxxxxxx 以上事實 分隔線 xxxxxxxxxxxxxxxxxxxxxxxxx ※ 編輯: bleed1979 (220.135.203.156), 12/22/2014 09:10:02 xxxxxxxxxxxxxxxxxx 不再回應分隔線 xxxxxxxxxxxxxxxxxxxxxxxxxx 感謝推噓文。 當初刪掉只剩[email protected]這個email。 如果說駭客真的從DB端直接改掉我的email那不就。。。 bleed1979正在努力拿回原有的FB帳號呀。 如果拿得回來，我就把原有帳號關閉。 因為現在用新的。 可惡，我的記憶呀！！！！！！！！！！！ xxxxxxxxxxxxxxxxxx 穿越時空障壁 分隔線 xxxxxxxxxxxxxxxxxxxxx 成功拿回原本的帳號了。 結果我只在帳號上打上"bleed1979"和密碼， 經過一連串的朋友照片驗證， 還有一些有的沒的步驟， 成功拿回來了！！ 可是我要關閉它了，唉。 過去的一切竟如此美好，美好到我想關閉之。 xxxxxxxxxxxxxxxxxx 不再編輯 分隔線 xxxxxxxxxxxxxxxxxxxxxxxxxx ※ 編輯: bleed1979 (220.135.203.156), 12/22/2014 16:16:30