https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

戰國策4,270筆資料外洩 Google全都露

2009 / 01 / 12
iseditor
戰國策4,270筆資料外洩 Google全都露
提供虛擬主機、網頁設計服務的戰國策,日前爆發一起嚴重資料外洩事件,由於其公司網站內部後台管理頁面的存取權限管制失當,約有4,270筆客戶訂單資料全部被Google快取抓走變成公開網頁資料,包括客戶名稱、姓名、電話、交易方式、帳號密碼及交易金額等機密資料,全都在公開網路上一覽無遺。消息在幾個部落格公開後,Google上的Cache記錄已經全部被移除,但資料暴露在Google上前後長達1個月之久,而且在大陸的搜尋引擎Youdao當中,仍然可以看到這4,000多筆的訂單快取網頁,甚至有關鍵字可以找訂單內容。

而根據網友小歪在其部落格http://wiselysong.blogspot.com/2009/01/blog-post.html指出,這些CACHE頁面的日期都集中在去年11月底12月初,估計是那段時間廠商內部管理網站沒做IP權限限制,很可能在當時只有後台登入頁面有IP/權限限制,但是進去以後的其他程式頁面並沒針對登入session/IP做控管,所以那些參數才會被GOOGLE抓到並用spider爬出來。儘管廠商代表聲稱有做IP認證,然而仍有網友可連結至該公司「CRM客戶管理系統」,並存有截圖。顯見是事後才做驗證。

這起大規模的資料外洩事件,初步估計約有4,270筆資料,截至目前幸無傳出任何損失,但要深思的是,代管主機廠商竟傳出如此大的疏失,民眾僅需點選頁面,竟能取得4,000多個網站的後台登入帳號與密碼,這些資料倘若遭有心人士進一步利用,造成難以估計的巨額損失,恐是廠商無法預期的後續效應。

截稿前,戰國策未回應對此事件的後續處理方式,但在此建議委託戰國策進行主機代管的企業,應先全面修改帳號密碼,包括網站管理員、資料庫密碼等。最後,最重要的是,企業應慎選提供主機代管服務的廠商,以避免未享受到資訊服務反而先受其害。