粉絲團
身為台灣知名的拍賣網站,「露天拍賣」在保護用戶個資上的努力似乎做得不夠。有資安專家發現,詐騙集團可以馬上知道消費者的購物紀錄、付款方式,就是因為露天拍賣有著無須入侵,就能查看用戶資料的漏洞!他並且將過程拍成影片,來展示這個漏洞的存在。
露天拍賣存在嚴重漏洞 詐騙集團可以無須入侵就能獲取用戶交易紀錄(圖片來源/露天拍賣)
根據資安專家「Zhi-Wei Cai」在個人 Facebook 上的貼文,他表示露天拍賣的這個漏洞,嚴格上來說不算「入侵」。只要先登入帳號,然後隨便點擊其他用戶的個人檔案,在進入特定網址,就可以查看「我的拍賣」中的資料!因為可能連瀏覽器發生錯誤都可以引發這樣的結果,於是伺服器就會將資料交給假冒的用戶、甚至是詐騙集團。
更新:廠商已經修復該問題。(影片公開三小時後)-----------------詐騙集團為何總是知道我們買了什麼,跟誰買,用什麼方式付款?因為有些網站預設相信客戶端所提供的任何資料,詐騙集團可以輕易的假冒成任何使用者,查看任何人的購買紀錄與對話。嚴格說起來這並不是「入侵」,因為即使是瀏覽器錯誤都可能會無意引發這樣的結果。至於網站會表示他們沒有被入侵,有可能是真的,因為並不需要入侵就可以得到這些資料,是伺服器把你得資料直接交給了假冒成你的詐騙集團而已。封閉消息、否認問題的存在或用法律手段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證,涉及金錢交易的平台應該優先進行規範才是正確的做法。聲明:此問題不涉及金流系統。影片沒有提供任何觸發這個問題的工具、方法,且未包含任何人的姓名、地址、電話、購物內容、對話內容抑或是密碼,全程未使用到任何密碼、未對伺服器端做任何正常網頁瀏覽以外的資料傳輸,所有變更的內容皆為本機端。
Posted by Zhi-Wei Cai on Wednesday, August 19, 2015
由於這個漏洞已經存在一年多,但露天拍賣官方遲遲沒有回應。以至於資安專家「Zhi-Wei Cai」決定將漏洞影片公開上網。在影片發布後的三小時,露天拍賣就將這個漏洞修正了。他表示對於露天拍賣這種封閉消息、否認問題的做法,並不能讓問題消失,在設計金錢交易的平台上,露天拍賣應該更重視安全的問題。
