作者hcbr (hcbr)
看板Anti-ramp
标题Fw: [新闻] 抓到了! 露天拍卖大漏洞,消费购物资料
时间Sat Aug 22 07:26:33 2015
※ [本文转录自 Gossiping 看板 #1LrvAXqK ]
作者: allen501pc (Linux User!) 看板: Gossiping
标题: [新闻] 抓到了! 露天拍卖大漏洞,消费购物资料
时间: Sat Aug 22 05:05:31 2015
1.媒体来源:
硬是要学
2.完整新闻标题:
抓到了! 露天拍卖大漏洞,消费购物资料全都「露天」!
3.完整新闻内文:
文/好手 发表於 2015/08/21
在网拍上买东西没多久後就接到诈骗集团来电告知「分期」设定错误,这应该是许多网拍
买家都有遇到的事情,过了这麽多年诈骗案件还是层出不穷,向站方申诉得到的都是个资
未外泄,诈骗集团依然可以精准的取得订单资料,到底是为什麽?
今天资安专家 Zhi-Wei Cai 在 Facebook 上录制了一段影片,揭露露天拍卖这个可以伪装
成「任何人」的漏洞,透过这个漏洞,
有心人士可以绕过系统安全机制,直接伪装成任何
卖家,并且检视该卖家的成交资料,并可以进一步的取得卖家的联络方式、付款方式等资
料。推测诈骗集团应该是使用同类型的方式取得消费者资料。
同时,Zhi-Wei Cai 也指出
至少在一年前就已经有安全研究者将问题回报给露天拍卖,
但一直到这个影片被公开至网路上之前,露天拍卖完全没有任何修复动作,露天拍卖变
成诈骗集团的 Open Data (开放资料),也让该平台的消费者蒙受个资遭窃的风险。
对於露天拍卖的处理态度,Zhi-Wei Cai 则说:「封闭消息、否认问题的存在或用法律手
段让大家噤声并不能使问题消失。只有尝试修复问题才能真正解决问题,有问题并不是可
耻的事情,但是视而不见,把客户的安全置於险境,就是个大问题了。比起 App 安全认证
,涉及金钱交易的平台应该优先进行规范才是正确的做法。」
身为台湾网路拍卖平台的先驱,业者应该以更积极主动的态度面对各种资安问题,对於重
复发生机率如此高的问题,露天拍卖在经过一年的时间不但无法主动发现并排除,直至影
片被曝光後工程团队才赶工排除,我们也很想问露天经营团队:你们将消费者的安全摆在
第几顺位?
4.完整新闻连结 (或短网址):
http://goo.gl/vuv0jn
5.备注:
露天拍卖帐号大量遭盗?业者:不算异常
http://goo.gl/N9iCk5
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.117.35.109
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1440191137.A.D14.html
1F:→ johnhmj: 幸好我不用露露。 08/22 05:06
2F:嘘 slimak: 超难用 08/22 05:08
3F:推 kasion: 司法:它都说露天了 你相信他 所以查无不法 08/22 05:08
4F:→ kisc32950: 露天真的品管很烂… 08/22 05:08
5F:推 k321045: 露天不意外 08/22 05:10
6F:推 peine: 好险从来没用过 08/22 05:10
※ allen501pc:转录至看板 e-shopping 08/22 05:10
7F:推 openpower: 其实阿 收集卖家的资料是可以干嘛?? 08/22 05:11
8F:推 suginamiki: 这个新闻一定过几天又不见了..露天真的很烂 08/22 05:12
9F:推 ian0119: 露天有品管? 08/22 05:13
10F:嘘 ctimtaml: 露天的客服根本虚设 08/22 05:14
11F:推 cul287: 可是Y拍也回不去了 都在比烂的 08/22 05:14
12F:→ mydarkfight: 盗帐号当人头啊 08/22 05:19
13F:→ allen501pc: 如果可以,拜托大家能够置底一下。我太早起床贴文了。 08/22 05:21
14F:嘘 francmiss: 詹宏志你要不要解释一下? 08/22 05:26
15F:推 ahinetn123: 露天烂死了 掏宝强不是没道理 8591也好太多 08/22 05:29
16F:嘘 battery989: 唉 有够烂 08/22 05:30
17F:→ mike7689: 现在都宁愿用淘宝买 08/22 05:30
18F:嘘 Romaps: 露天就是垃圾 08/22 05:30
19F:推 sss22563987: 还好注销帐号了 08/22 05:30
20F:→ allen501pc: 拜托不要嘘我,这新闻很重要。嘘一嘘就没人看了。Q__Q 08/22 05:31
21F:推 Jimny5566: 可怜....是不是待遇低到连遇到状况都不想告诉主管? 08/22 05:31
22F:嘘 pcfox: 詹宏志意外吗?反正就是境外企业,杂志部门的员工水准更低 08/22 05:31
23F:嘘 d9321003: 真得很夸张 受害者+1 08/22 05:31
24F:推 didi2931640: 帮高调 08/22 05:35
25F:推 qtzero: 这就是竞争力 08/22 05:42
26F:推 larailing: 真方便 搞不好自己也在里面玩 08/22 05:42
27F:→ s4001: 还好之前被盗早早就报警了... 08/22 05:47
28F:嘘 francmiss: p大真的,一副文化人的样子,结果公司设在开曼群岛避税 08/22 05:49
29F:→ s4001: 这个可不可以打团体诉讼 请求业者未尽善义管理人赔偿阿.... 08/22 05:49
30F:→ s4001: ??? 08/22 05:49
31F:→ operatorm: 露出 08/22 05:50
32F:推 j8ci5k: 明明有登入失败的纪录,通报客服却说:查无异常登入纪录 08/22 05:50
33F:→ operatorm: 天天露出 08/22 05:50
34F:→ allen501pc: To francmiss: 有讯息连结吗? 08/22 05:52
35F:推 lovefanfantu: 推 08/22 05:54
36F:嘘 tep1214: 受害者+1 都没用 还被上架卖一堆东西 08/22 05:57
37F:推 jbmm: 帮高调。台湾网拍真的惨输大陆超~级~多 08/22 05:59
38F:→ mike7689: 3个月前才被盗过帐号 上架一堆垃圾 08/22 06:00
39F:→ francmiss: a大,城邦的书版权页上都有写 08/22 06:00
40F:→ mike7689: 已经扣除自己电脑有木马的可能性 08/22 06:00
41F:推 akay08: 帮你推推 08/22 06:01
42F:推 s9816: 帮堆啦~太夸张 08/22 06:09
43F:推 doom3: 露天 不意外 08/22 06:12
44F:推 mystage: 连淘宝都比露天安全 08/22 06:18
45F:推 joumay: 能搞出这麽多案子 能拖这麽久 PCHome 真是不简单呢~~~ 08/22 06:18
46F:→ mystage: 我每次露天买完东西一定有诈骗简讯 08/22 06:19
47F:推 l615646: 推 08/22 06:29
48F:推 dinel7821967: 早就失望透顶不用了 08/22 06:32
49F:推 ytw8216: 露天烂到不行,盗个资盗帐号让我自己要客服把自己停权 08/22 06:41
50F:推 DarkerDuck: 露天本来就超烂,个资安全性比淘宝还差XDDD 08/22 06:45
51F:推 prunus: 高调、露天把自己搞真烂 08/22 06:47
52F:推 qqq0103: 烂露天 08/22 06:49
53F:推 gn01622545: 高调 之前的其它对露天爆卦 几乎都没上新闻 这篇一定 08/22 06:52
54F:推 g8330330: 高调 08/22 06:54
55F:推 Fallen27: 拉基公司 08/22 06:54
57F:推 LeoDiCaprio: 08/22 06:58
58F:推 xu3ej04vu06: 高调 08/22 07:03
59F:→ xu3ej04vu06: 高调 08/22 07:04
60F:→ kauti: 露天泄漏个资有名的咧 08/22 07:05
61F:推 F16V: 不过大家有什麽办法能真正注销帐号?你还不是要给真正资料 08/22 07:05
62F:→ F16V: 你敢给? 08/22 07:06
63F:推 a23633302: 烂 08/22 07:07
64F:推 seekeve: 真的颇糟糕的 08/22 07:11
65F:推 kerodo: 已经烂很久了,红的卖家都还成立自己的交易平台 08/22 07:12
66F:推 ewqewq123123: 詹宏志:露天拚明年海外挂牌 ㄏㄏ 08/22 07:18
67F:嘘 mecca: 嘘露天 难怪一大堆被盗帐号刊商品的 08/22 07:24
68F:推 myrzr: 烂透了,歧视人不在台湾的用户,安全码只寄给台湾电话 08/22 07:25
69F:推 wxyz111: 已经注销帐号了,但还是很担心 08/22 07:26
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: hcbr (36.236.88.139), 08/22/2015 07:26:33
70F:推 mamato: 帮高调! 08/22 23:15
71F:推 almondchoco: 超扯 08/22 23:20
72F:推 BrightKiller: 客服真的虚设 08/23 00:53
73F:推 skipbeat1005: 帮推 08/23 01:47
74F:推 raybaby01: 推 08/23 09:12
75F:推 detect7635: 哼 自从上次被盗 我把自己弄得停权後 就没在复权过了 08/23 13:38
76F:推 tomlang: 推!! 08/23 20:03
77F:→ andychae: 我比较担心的是,注销就真的注销了吗?最近国外约炮平台 08/24 09:51
78F:→ andychae: 被入侵,新闻有提到被注销的资料照样可以看得到。 08/24 09:51
79F:推 poasdm: 08/24 14:16
80F:推 netsc: 注销资料只是在资料栏位上标明隐藏 而不是数据资料上的删除 08/25 09:37
81F:推 babyminu: 每次去露天下标,隔天一定接到诈骗电话,屡试不爽~ 08/31 13:57
82F:推 Microscft: 他妈的生平唯一一次帐号被盗用就在露天 09/28 23:48
83F:→ Microscft: 拎北已经很重视资安问题了还被盗用,就是露天很有问题 09/28 23:48
84F:嘘 GHTang: 笑死 有人崩溃 10/08 12:35
85F:推 zdanpan: 烂透 还好意思跟卖家收手续费 12/07 15:19
86F:推 yyamy2002: 我每次买露天,诈骗集团就打电话跟我聊天 06/27 16:15