看板 Gossiping作者 allen501pc (Linux User!)標題 [新聞] 抓到了! 露天拍賣大漏洞,消費購物資料時間 Sat Aug 22 05:05:31 2015
1.媒體來源:
硬是要學
2.完整新聞標題:
抓到了! 露天拍賣大漏洞,消費購物資料全都「露天」!
3.完整新聞內文:
文/好手 發表於 2015/08/21
在網拍上買東西沒多久後就接到詐騙集團來電告知「分期」設定錯誤,這應該是許多網拍
買家都有遇到的事情,過了這麼多年詐騙案件還是層出不窮,向站方申訴得到的都是個資
未外洩,詐騙集團依然可以精準的取得訂單資料,到底是為什麼?
今天資安專家 Zhi-Wei Cai 在 Facebook 上錄製了一段影片,揭露露天拍賣這個可以偽裝
成「任何人」的漏洞,透過這個漏洞,有心人士可以繞過系統安全機制,直接偽裝成任何
賣家,並且檢視該賣家的成交資料,並可以進一步的取得賣家的聯絡方式、付款方式等資
料。推測詐騙集團應該是使用同類型的方式取得消費者資料。
同時,Zhi-Wei Cai 也指出
至少在一年前就已經有安全研究者將問題回報給露天拍賣,
但一直到這個影片被公開至網路上之前,露天拍賣完全沒有任何修復動作,露天拍賣變
成詐騙集團的 Open Data (開放資料),也讓該平台的消費者蒙受個資遭竊的風險。
對於露天拍賣的處理態度,Zhi-Wei Cai 則說:「封閉消息、否認問題的存在或用法律手
段讓大家噤聲並不能使問題消失。只有嘗試修復問題才能真正解決問題,有問題並不是可
恥的事情,但是視而不見,把客戶的安全置於險境,就是個大問題了。比起 App 安全認證
,涉及金錢交易的平台應該優先進行規範才是正確的做法。」
身為台灣網路拍賣平台的先驅,業者應該以更積極主動的態度面對各種資安問題,對於重
複發生機率如此高的問題,露天拍賣在經過一年的時間不但無法主動發現並排除,直至影
片被曝光後工程團隊才趕工排除,我們也很想問露天經營團隊:你們將消費者的安全擺在
第幾順位?
4.完整新聞連結 (或短網址):
http://goo.gl/vuv0jn
抓到了! 露天拍賣大漏洞,消費購物資料全都「露天」! | 硬是要學
今天有資安專家 Zhi-Wei Cai 在 Facebook 上錄製了一段影片,揭露露天拍賣這個可以偽裝成「任何人」的漏洞,透過這個漏洞,有心人士可以繞過系統安全機制,直接偽裝成任何賣家,並且檢視該賣家的成交資料,並可以進一步的取得賣家的聯絡方式、付款方式等資料。推測詐騙集團應該是使用同類型的方式取得消費者資料。 ...
5.備註:
露天拍賣帳號大量遭盜?業者:不算異常
http://goo.gl/N9iCk5
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.35.109
※ 文章代碼(AID): #1LrvAXqK (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1440191137.A.D14.html
推 kasion: 司法:它都說露天了 你相信他 所以查無不法3F 08/22 05:08
推 peine: 好險從來沒用過6F 08/22 05:10
※ allen501pc:轉錄至看板 e-shopping 08/22 05:10
推 openpower: 其實阿 收集賣家的資料是可以幹嘛??7F 08/22 05:11
推 cul287: 可是Y拍也回不去了 都在比爛的11F 08/22 05:14
→ allen501pc: 如果可以,拜託大家能夠置底一下。我太早起床貼文了。13F 08/22 05:21
推 ahinetn123: 露天爛死了 掏寶強不是沒道理 8591也好太多15F 08/22 05:29
噓 Romaps: 露天就是垃圾18F 08/22 05:30
→ allen501pc: 拜託不要噓我,這新聞很重要。噓一噓就沒人看了。Q__Q20F 08/22 05:31
推 Jimny5566: 可憐....是不是待遇低到連遇到狀況都不想告訴主管?21F 08/22 05:31
噓 pcfox: 詹宏志意外嗎?反正就是境外企業,雜誌部門的員工水準更低22F 08/22 05:31
推 qtzero: 這就是競爭力25F 08/22 05:42
→ s4001: 還好之前被盜早早就報警了...27F 08/22 05:47
噓 francmiss: p大真的,一副文化人的樣子,結果公司設在開曼群島避稅28F 08/22 05:49
→ s4001: 這個可不可以打團體訴訟 請求業者未盡善義管理人賠償阿....???29F 08/22 05:49
推 j8ci5k: 明明有登入失敗的紀錄,通報客服卻說:查無異常登入紀錄32F 08/22 05:50
→ allen501pc: To francmiss: 有訊息連結嗎?34F 08/22 05:52
噓 tep1214: 受害者+1 都沒用 還被上架賣一堆東西36F 08/22 05:57
推 jbmm: 幫高調。台灣網拍真的慘輸大陸超~級~多37F 08/22 05:59
→ mike7689: 3個月前才被盜過帳號 上架一堆垃圾38F 08/22 06:00
→ mike7689: 已經扣除自己電腦有木馬的可能性40F 08/22 06:00
推 s9816: 幫堆啦~太誇張42F 08/22 06:09
推 doom3: 露天 不意外43F 08/22 06:12
推 mystage: 連淘寶都比露天安全44F 08/22 06:18
推 joumay: 能搞出這麼多案子 能拖這麼久 PCHome 真是不簡單呢~~~45F 08/22 06:18
→ mystage: 我每次露天買完東西一定有詐騙簡訊46F 08/22 06:19
推 ytw8216: 露天爛到不行,盜個資盜帳號讓我自己要客服把自己停權49F 08/22 06:41
推 DarkerDuck: 露天本來就超爛,個資安全性比淘寶還差XDDD50F 08/22 06:45
推 prunus: 高調、露天把自己搞真爛51F 08/22 06:47
推 gn01622545: 高調 之前的其它對露天爆卦 幾乎都沒上新聞 這篇一定53F 08/22 06:52
→ kauti: 露天洩漏個資有名的咧60F 08/22 07:05
推 F16V: 不過大家有什麼辦法能真正註銷帳號?你還不是要給真正資料
你敢給?61F 08/22 07:05
推 kerodo: 已經爛很久了,紅的賣家都還成立自己的交易平台65F 08/22 07:12
噓 mecca: 噓露天 難怪一大堆被盜帳號刊商品的67F 08/22 07:24
推 myrzr: 爛透了,歧視人不在台灣的用戶,安全碼只寄給台灣電話68F 08/22 07:25
推 wxyz111: 已經註銷帳號了,但還是很擔心69F 08/22 07:26
※ hcbr:轉錄至看板 Anti-ramp 08/22 07:26
噓 linein: 露天都賣淘寶貨74F 08/22 07:44
→ KirinP: 爛公司XD76F 08/22 07:48
推 lkjfds: 購物平台抽%合情合理 但網路安全還是要顧
建議露天找幾家專門在做這塊的公司建立安全系統78F 08/22 08:00
推 nausea: 我也被盜過帳號 真是莫名81F 08/22 08:04
推 ABA0525: 這個告個資法 可以贏吧?85F 08/22 08:06
推 new8gi: 去pchome吧86F 08/22 08:06
推 PlayPtt: 靠..難怪偶會接到一些怪怪的電話90F 08/22 08:24
推 olin7745: 8591手續費太貴了,而且提領麻煩91F 08/22 08:26
推 narsas: 再也不用露天了93F 08/22 08:28
推 chadzen: 難怪炸騙會打來..還知道你買什麼..94F 08/22 08:31
推 sggs: 我的聯邦銀行主動致電我換卡,換卡前最後一筆刷卡就是露天95F 08/22 08:31
推 mars1985: 本來就很爛 自求多福 只想收錢。淘寶屌打97F 08/22 08:32
推 evelyn055: 所以我被盜讓他鎖帳後就決定再也不用露天了98F 08/22 08:32
推 gunfighter: 第一次在露天買 隔天就接到詐騙電話 就再也沒用過露天101F 08/22 08:34
→ evelyn055: 最需要注重資安跟交易安全的平臺 出事只會怪消費者 處理的還超不積極(我投訴被盜到客服回應及鎖我帳都過幾天了) 爛透102F 08/22 08:35
推 aowen: 鬼島的軟體業落後阿共一大截105F 08/22 08:38
推 GimO: 淘寶比露天好一萬倍107F 08/22 08:50
推 adon0313: 露天拍賣是跟詐騙集團合作
8951交易費太高阿108F 08/22 08:54
推 mdkn35: 個資露天110F 08/22 08:57
推 mirja: 高調112F 08/22 09:02
推 ls4444: 用批西轟就好啦 滑鼠剛點下去門鈴就響了113F 08/22 09:04
推 silentence: 難怪
那麼多被盜的,最好只有使用者問題....120F 08/22 09:15
→ drigo: 老闆賺那麼大,連基本的資安都做不好,我看連第三方支付可能也安全不到哪去124F 08/22 09:26
→ gdtg10900: 台灣不重視軟體又不是第一天了習慣就好126F 08/22 09:38
推 saint01: 都叫露天了 是有多安全?127F 08/22 09:40
推 lover19: 我常用露天不過完全沒接過詐騙 反倒是奇摩接過一次128F 08/22 09:54
推 zkrs: 反應多次資料外洩,客服都以官方回答,是買賣方資料外洩,129F 08/22 09:58
推 oidkk: 高調130F 08/22 09:58
推 adon0313: 露天跟pchome同公司...131F 08/22 10:00
→ kaichun: 用超商取貨付錢破解132F 08/22 10:02
推 a11131031: 會在露天留真實資料的人也很沒常識 受害不意外135F 08/22 10:08
推 firetarget: 接過太多次露天詐騙電話 一開口就知道 都懶得聽完了138F 08/22 10:31
推 maytwtp: 早就知道了現在才爆?露天根本勾結141F 08/22 10:34
推 r2870305: 露天根本是詐騙集團的幫兇!你被騙管你去死!143F 08/22 10:35
推 lX: yahoo被抵制 露天就擺爛了 我也收過露天的詐騙電話144F 08/22 10:39
推 mdyt5: 推145F 08/22 10:39
推 sid3: 一分錢一分貨 露天便宜就是有他的問題147F 08/22 10:45
推 Rayio: 高149F 08/22 10:51
推 kevin190: 露天肯定還有很多詐騙集團知道的漏洞沒被修補152F 08/22 11:06
推 myth0422: 幫高調 每次露天買完就收到電話+1153F 08/22 11:12
--