※ [本文轉錄自 Gossiping 看板 #1LrvAXqK ]
作者: allen501pc (Linux User!) 看板: Gossiping
標題: [新聞] 抓到了! 露天拍賣大漏洞,消費購物資料
時間: Sat Aug 22 05:05:31 2015
1.媒體來源:
硬是要學
2.完整新聞標題:
抓到了! 露天拍賣大漏洞,消費購物資料全都「露天」!
3.完整新聞內文:
文/好手 發表於 2015/08/21
在網拍上買東西沒多久後就接到詐騙集團來電告知「分期」設定錯誤,這應該是許多網拍
買家都有遇到的事情,過了這麼多年詐騙案件還是層出不窮,向站方申訴得到的都是個資
未外洩,詐騙集團依然可以精準的取得訂單資料,到底是為什麼?
今天資安專家 Zhi-Wei Cai 在 Facebook 上錄製了一段影片,揭露露天拍賣這個可以偽裝
成「任何人」的漏洞,透過這個漏洞,有心人士可以繞過系統安全機制,直接偽裝成任何
賣家,並且檢視該賣家的成交資料,並可以進一步的取得賣家的聯絡方式、付款方式等資
料。推測詐騙集團應該是使用同類型的方式取得消費者資料。
同時,Zhi-Wei Cai 也指出至少在一年前就已經有安全研究者將問題回報給露天拍賣,
但一直到這個影片被公開至網路上之前,露天拍賣完全沒有任何修復動作,露天拍賣變
成詐騙集團的 Open Data (開放資料),也讓該平台的消費者蒙受個資遭竊的風險。
對於露天拍賣的處理態度,Zhi-Wei Cai 則說:「封閉消息、否認問題的存在或用法律手
段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可
恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證
,涉及金錢交易的平台應該優先進行規範才是正確的做法。」
身為台灣網路拍賣平台的先驅,業者應該以更積極主動的態度面對各種資安問題,對於重
複發生機率如此高的問題,露天拍賣在經過一年的時間不但無法主動發現並排除,直至影
片被曝光後工程團隊才趕工排除,我們也很想問露天經營團隊:你們將消費者的安全擺在
第幾順位?
4.完整新聞連結 (或短網址):
http://goo.gl/vuv0jn
5.備註:
露天拍賣帳號大量遭盜?業者:不算異常
http://goo.gl/N9iCk5