Home » 新聞, 資訊安全
好手 發表於

抓到了! 露天拍賣大漏洞,消費購物資料全都「露天」!

文/好手
廣 告

在網拍上買東西沒多久後就接到詐騙集團來電告知「分期」設定錯誤,這應該是許多網拍買家都有遇到的事情,過了這麼多年詐騙案件還是層出不窮,向站方申訴得到的都是個資未外洩,詐騙集團依然可以精準的取得訂單資料,到底是為什麼?

image

今天資安專家 Zhi-Wei Cai 在 Facebook 上錄製了一段影片,揭露露天拍賣這個可以偽裝成「任何人」的漏洞,透過這個漏洞,有心人士可以繞過系統安全機制,直接偽裝成任何賣家,並且檢視該賣家的成交資料,並可以進一步的取得賣家的聯絡方式、付款方式等資料。推測詐騙集團應該是使用同類型的方式取得消費者資料。

image

image

同時,Zhi-Wei Cai 也指出至少在一年前就已經有安全研究者將問題回報給露天拍賣,但一直到這個影片被公開至網路上之前,露天拍賣完全沒有任何修復動作,露天拍賣變成詐騙集團的 Open Data (開放資料),也讓該平台的消費者蒙受個資遭竊的風險。

對於露天拍賣的處理態度,Zhi-Wei Cai 則說:「封閉消息、否認問題的存在或用法律手段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證,涉及金錢交易的平台應該優先進行規範才是正確的做法。」

身為台灣網路拍賣平台的先驅,業者應該以更積極主動的態度面對各種資安問題,對於重複發生機率如此高的問題,露天拍賣在經過一年的時間不但無法主動發現並排除,直至影片被曝光後工程團隊才趕工排除,我們也很想問露天經營團隊:你們將消費者的安全擺在第幾順位?

原 PO 影片

更新:廠商已經修復該問題。(影片公開三小時後)-----------------詐騙集團為何總是知道我們買了什麼,跟誰買,用什麼方式付款?因為有些網站預設相信客戶端所提供的任何資料,詐騙集團可以輕易的假冒成任何使用者,查看任何人的購

Posted by Zhi-Wei Cai on 2015年8月19日

關於

硬是要學共同創辦人兼職打雜編輯。每天最重要的工作就是不斷地蒐集國內外各種新資訊和吃飯趕攤,堅持提供硬是要學的朋友最有興趣和最快速的報導。熱愛網路、熱愛 3C!腦袋是個不定時炸彈,隨時會炸出新玩意兒!

連絡信箱:[email protected]

Besthand 好手開講 粉絲團

Facebook 網友留言

站內留言

  • Wolfkied

    三小時就能修補的程式漏洞為什麼一年來沒修?很顯然要不是這漏洞很容易修補就是一年來都在擺爛不理會。

    • changyuheng

      你說的兩個原因沒有互斥啊

    • 關桑

      不,不是不理會,而是可以合理懷疑是詐騙集團內鬼

    • 范志偉

      聽說賣個資可以賺錢呢!

  • bb

    很顯然要不是邏輯不好就是表達能力差

  • zuyan

    公開了才補....這內情不單純....
    工程師...我知道的....

  • 幹你媽露天

    修懶叫修
    垃圾露天拍賣
    使用者也付費了,直接把某樣功能停用當作修復?
    露天根本不要臉的垃圾
    早就通報過安全問題,裡面的工程師和客服部都跟他媽的全家死光了一樣,只會複製貼上制式回應
    廢物露天

[X]
取得更多 3C 新玩意和優惠資訊,立刻加入粉絲團!
關閉