露天拍賣存在一年以上的資安漏洞,賣家個資全都露!

多年以來,在拍賣網站上的個資外洩新聞時有所聞,有些可能是使用者的個人疏失問題,但有時候卻也不能排除網站業者的問題存在。今天資安專家Zhi-Wei Cai 在 Facebook 上公開一支影片,展示登入露天拍賣特定帳號後,只需要知道其他賣家的帳號名稱,就可以直接繞過所有檢查機制,直接看到所有的連絡資料,他在影片中表示,這甚至是稱不上駭客入侵(Hacking)。
評論
評論

 

多年以來,在拍賣網站上的個資外洩新聞時有所聞,有些可能是使用者的個人疏失問題,但有時候卻也不能排除網站業者的問題存在。昨天資安專家 Zhi-Wei Cai 在 Facebook 上公開一支影片,展示登入露天拍賣特定帳號後,只需要知道其他賣家的帳號名稱,就可以直接繞過所有檢查機制,直接看到所有的賣家連絡資訊,他在 Facebook 表示:

嚴格說起來這並不是「入侵」,因為即使是瀏覽器錯誤都可 能會無意引發這樣的結果。至於網站會表示他們沒有被入侵 ,有可能是真的,因為並不需要入侵就可以得到這些資料, 是伺服器把你得資料直接交給了假冒成你的詐騙集團而已。

影片中在一開始指出,至少一年以前有許多資安研究人員有回報過此一漏洞,但絲毫沒有回音,所以才錄下此一影片,可喜可賀的是,在 Zhi-Wei Cai 公開影片後的三小時後,此一漏洞已被修正,有興趣的朋友可以觀看以下影片。

更新:廠商已經修復該問題。(影片公開三小時後)----------------- 詐騙集團為何總是知道我們買了什麼,跟誰買,用什麼方式付款?因為有些網站預設相信客戶端所提供的任何資料,詐騙集團可以輕易的假冒成任何使用者,查看任何人的購買紀錄與對話。嚴格說起來這並不是「入侵」,因為即使是瀏覽器錯誤都可能會無意引發這樣的結果。至於網站會表示他們沒有被入侵,有可能是真的,因為並不需要入侵就可以得到這些資料,是伺服器把你得資料直接交給了假冒成你的詐騙集團而已。封閉消息、否認問題的存在或用法律手段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證,涉及金錢交易的平台應該優先進行規範才是正確的做法。聲明:此問題不涉及金流系統。影片沒有提供任何觸發這個問題的工具、方法,且未包含任何人的姓名、地址、電話、購物內容、對話內容抑或是密碼,全程未使用到任何密碼、未對伺服器端做任何正常網頁瀏覽以外的資料傳輸,所有變更的內容皆為本機端。

Posted by Zhi-Wei Cai on 2015 年 8 月 19 日


雲隨商轉.建構由我!2021 AWS 台灣雲端高峰會,9 月 2 日線上磅礴登場

2021 AWS 台灣雲端高峰會將在 9 月 2 號登場,全天候透過線上舉行,免費接軌業界資源、技術交流不斷電,任何需要開拓雲端新經濟或是自我加值的工作者,都不該錯過這場盛會。
評論
Photo Credit:AWS
評論

AWS 公布今年度的雲端技術盛會訊息:2021 AWS 台灣雲端高峰會 ( AWS Summit Online ) 即將在 9 月 2 號登場!全天候透過線上舉行,讓業界的交流與創新不間斷。今年的活動主題定為「雲隨商轉.建構由我」,強調 2021 年企業仍持續尋找新常態的求生法則,不分產業擁抱數位轉型,以及掌握雲端驅動力,人人都應具備開創新局的力量。

2021 AWS 台灣雲端高峰會,聚焦七大雲端主題

Photo Credit:AWS

今年度的 AWS 台灣雲端高峰會,不只將一次集結 AWS 重量級技術專家與產業代表,共同分享最前瞻的技術發展、商業洞見及最佳實務,還有線上互動展覽、hands-on 實作課程、demo 實機展演、一對一線上諮詢等多元體驗,帶領參與者充分掌握雲端技術動態,實現創新藍圖。

透過 2021 AWS 台灣雲端高峰會的活動平台,無論是 AWS 技術與服務的初學者或資深使用者,都可以在高峰會上學習到新事物,並透過七大雲端主題聚焦學習,為自己的能力加值。

2021 AWS 台灣雲端高峰會七大雲端主題,包含:

  • AI 與機器學習
  • 最佳實務分享
  • 資料分析
  • IT 管理
  • 資安與合規
  • 創新思維
  • 應用程式現代化

另外,參與者還可以根據個人的工作執掌、興趣和產業相關課程、技術能力,找到量身定制的議程。以下是 AWS 台灣雲端高峰會官方提供的技術能力分級參考,建議有興趣的與會者不妨以此作為基準,為自己安排相對應的議程。

  • Level 100(初級):課程將涵蓋服務、特色及效益的概觀說明,無須任何課前先修知識。
  • Level 200(中級):課程將聚焦於最佳實務、服務特色詳情以及展示或程式碼範例。需具備初級主題知識。
  • Level 300(高級):課程將深入說明服務特色、經驗分享、部署及架構範例。參與此課程,需對 AWS 服務及 AWS 平台有深入的了解。
  • Level 400(忍者):課程將集中說明更為複雜的主題,如進階編碼、架構、基礎結構設計和解決方案。需具備對主題的深入了解。

立即報名:2021 AWS 台灣雲端高峰會

不限專業大師或怪獸新人,你也應該參加 2021 AWS 台灣雲端高峰會

AWS 台灣雲端高峰會不限於技術開發人員或是企業高階主管,無論是想了解最新趨勢的雲端初心者、尋求技術突破的資深使用者,或是想在有限預算內提升營運效率的企業主,都有機會在「2021 AWS 台灣雲端高峰會」上找到答案。

2021 AWS 台灣雲端高峰會參加對象,包含:

  • 別創新格 - 開發人員
  • 邏輯清晰 - 工程師
  • 足智多謀 - 解決方案或系統架構師
  • 技術神展開 - IT專業人員或技術支援經理
  • 硬體擔當 - 系統管理員
  • 日理萬機 - 創辦人或經營決策者
  • 自我充實 - 學生、教職或研究員

最重要的是,2021 AWS 台灣雲端高峰會可免費報名參加,任何需要開拓雲端新經濟還自我加值的工作者,都不該錯過這場盛會!

立即報名:2021 AWS 台灣雲端高峰會

AWS DeepRacer 人工智慧賽車同步登場!快交出你最夠勁的模型

Photo Credit:AWS

每年跟著台灣雲端高峰會前會舉行的 AWS DeepRacer 智慧自駕車競賽,今年亦不缺席,即日起至 2021 年 10 月 31 日都可以提交模型參加競賽。

為什麼要參加 AWS DeepRacer?因為這是全球首個自動駕駛賽車聯盟盃賽,讓機器學習驅動的賽車模型在場上奔馳,除了要激起開發者的鬥志,也可更加精進與磨練機器學習(ML)、強化學習(RL)技術,是 AWS 送給所有工程師最棒的寓教於樂場域。當然,參加 AWS DeepRacer 競賽不只能贏取獎品和榮耀,也可獲得晉級 AWS DeepRacer 冠軍賽的機會

立即報名:2021 AWS 台灣雲端高峰會