露天拍賣存在一年以上的資安漏洞,賣家個資全都露!

多年以來,在拍賣網站上的個資外洩新聞時有所聞,有些可能是使用者的個人疏失問題,但有時候卻也不能排除網站業者的問題存在。今天資安專家Zhi-Wei Cai 在 Facebook 上公開一支影片,展示登入露天拍賣特定帳號後,只需要知道其他賣家的帳號名稱,就可以直接繞過所有檢查機制,直接看到所有的連絡資料,他在影片中表示,這甚至是稱不上駭客入侵(Hacking)。
評論
評論

 

多年以來,在拍賣網站上的個資外洩新聞時有所聞,有些可能是使用者的個人疏失問題,但有時候卻也不能排除網站業者的問題存在。昨天資安專家 Zhi-Wei Cai 在 Facebook 上公開一支影片,展示登入露天拍賣特定帳號後,只需要知道其他賣家的帳號名稱,就可以直接繞過所有檢查機制,直接看到所有的賣家連絡資訊,他在 Facebook 表示:

嚴格說起來這並不是「入侵」,因為即使是瀏覽器錯誤都可 能會無意引發這樣的結果。至於網站會表示他們沒有被入侵 ,有可能是真的,因為並不需要入侵就可以得到這些資料, 是伺服器把你得資料直接交給了假冒成你的詐騙集團而已。

影片中在一開始指出,至少一年以前有許多資安研究人員有回報過此一漏洞,但絲毫沒有回音,所以才錄下此一影片,可喜可賀的是,在 Zhi-Wei Cai 公開影片後的三小時後,此一漏洞已被修正,有興趣的朋友可以觀看以下影片。

更新:廠商已經修復該問題。(影片公開三小時後)----------------- 詐騙集團為何總是知道我們買了什麼,跟誰買,用什麼方式付款?因為有些網站預設相信客戶端所提供的任何資料,詐騙集團可以輕易的假冒成任何使用者,查看任何人的購買紀錄與對話。嚴格說起來這並不是「入侵」,因為即使是瀏覽器錯誤都可能會無意引發這樣的結果。至於網站會表示他們沒有被入侵,有可能是真的,因為並不需要入侵就可以得到這些資料,是伺服器把你得資料直接交給了假冒成你的詐騙集團而已。封閉消息、否認問題的存在或用法律手段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證,涉及金錢交易的平台應該優先進行規範才是正確的做法。聲明:此問題不涉及金流系統。影片沒有提供任何觸發這個問題的工具、方法,且未包含任何人的姓名、地址、電話、購物內容、對話內容抑或是密碼,全程未使用到任何密碼、未對伺服器端做任何正常網頁瀏覽以外的資料傳輸,所有變更的內容皆為本機端。

Posted by Zhi-Wei Cai on 2015 年 8 月 19 日


從這 3 個解決方案,突破傳統 VPN 功能上的局限性

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。
評論
評論

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。雲端運算的廣泛使用,給傳統 VPN 技術實現遠程安全接入的方案,帶來了很大的挑戰。

挑戰來源於這裡

首先終端安全風險缺乏有效地管控,傳統的 VPN 只針對用戶做認證,缺乏對終端裝置認證及安全性評估。終端種類和來源的多樣性帶來的安全風險大大增加,存在終端被入侵並作為攻擊跳板的可能性。

傳統 VPN 難以適應雲環境和多雲數據中心應用場景出現,且通常採用加密隧道劃分安全可信區域,在雲環境下,尤其是存在多雲數據中心的情況,難以適應同意安全接入、統一建立安全邊界的需求。最後 VPN 介入後的橫向攻擊難以控制,用戶通過傳統 VPN 接入內網後,缺少更細粒度、動態的訪問和權限控制,導致關鍵應用可能存在被攻擊滲透的風險。

新的方案需要在這 3 個方面提升

除了對用戶身份認證以外,對用戶終端的安全性也需要進行持續地評估,以提升系統安全水平。適應雲端運算環節下統一接入、統一管理的要求,其中包括私有雲、公有雲和混和雲環境。對內部網路中的橫向攻擊進行有效地管理控制,對用戶可信度的訪問權限進行評估,不能只是透過物理位置和靜態狀態來做出判斷,需要基於用戶自身的角色和身份以及當前的安全狀態,來進行更細顆粒度的動態授權,進一步去提升系統安全訪問的標準。

VPN 會在用戶進行登錄訪問的期間實施檢測功能,當發現終端安全狀態不能滿足安全需求時,會限制終端對系統的訪問。VPN 可以通過 API 接口與態勢感知、下一代防火牆、終端檢測和響應等多種裝置進行安全連動,並保持安全效能持續地成長,更加準確識別出異常行為和未知的威脅。同時,透過與其他能力相互協作,滿足遠距辦公場景下的數據防泄密需求。

Surfshark VPN 免費加贈 3 個月

本文章內容由「Surfshark」提供,經關鍵評論網媒體集團廣編企劃編審。