※ 本文转录自 [0Sysop] 看板 作者: Morbert (搁置) 看板: 0Sysop 标题: [新闻] 无名小站遇「骇」 个人资料流入中国 时间: Tue Nov 21 21:29:55 2006 无名小站遇「骇」 个人资料流入中国 http://www.libertytimes.com.tw/2006/new/nov/21/today-life4.htm 新闻来源：2006.11.21 自由时报 < 记者黄敦砚、袁世忠／台北报导 > 大三生与高三生 两人联手入侵 台湾最大部落格网站「无名小站」发生会员资料外泄事件！刑事警察局侦九队 三组查获由东海大学大三陈姓学生与洪姓高三生组成的骇客集团，以「ＸＳＳ 漏洞」方式入侵无名小站。 中国骇客竟仿效 连结下载个资 警方已将两人先以妨害电脑使用罪嫌送办。不过，他们的手法似已引发中国骇 客仿效，将取得的个人资料贴在中国的网站上，甚至还提供一个档案连结，让 网友可以下载他所抓得的部分无名小站用户资料。 「无名小站」存有近两百万会员个人档案的资料库，因此成为骇客练功的最爱 之一。警方发现陈某涉嫌以「ＸＳＳ漏洞」方式入侵无名小站，同时还在台湾 骇客年会发表专题时，发表自己入侵无名小站的方法与骇客分享。 钻ＸＳＳ漏洞 侵30余学校企业 警方也发现，化名「bf」（black farmer）的陈姓大学生（二十一岁）与化名 「IK」的洪姓少年共同成立骇客网站，改写中国骇客撰写的骇客程式，入侵国 内包括中原、实践、逢甲等三十多所学校与企业的电脑主机，偷取大批个人资 料及商业机密，再於网站上大肆炫耀，还有不少学校的电脑社团都会找陈某（ bf）去演讲。 这些遭窃的会员资料部分已流传到中国大陆；一名昵称「黑雨天使」的网友， 就在中国一个以骇客为主题的网路论坛上发表「号称台湾最大Blog站点（无名 小站）存在严重ＸＳＳ漏洞」文章，指出他在无意间测试台湾无名小站，没想 到「如此的烂，没几下子就搞定了」！ 他甚至还提供一个档案连结，让网友可以下载他所抓得的部分无名小站用户资 料，包括真实姓名、联络电话、通讯地址、职业收入等，一览无遗。 这篇文章贴出三天来，已经有近两百人浏览，该网站主要是讨论骇客技术、发 表被骇网站为主。 警方表示，由於bf曾在骇客论坛上发表入侵无名小站的经过，可能因此有中国 骇客仿效入侵。 ---------------------------------------------------------------------- 无名小站：被窃资料仅13笔 与骇客激战十多分钟 无名小站昨日证实，会员资料库确实在今年八月间遭骇客入侵，窃走部分资料， 当初因为工作人员发现後，和对方在网路上展开十几分钟的攻防，最後终於逼 退对方，初步统计仅有十三笔资料在过程中被窃走，站方在这次教训後，就立 刻修补系统漏洞。 无名小站董事长林弘全表示，事情发生当时就已向检调单位报案，也已锁定两 名特定人选，但并没有马上通知个人资料遭窃的当事人，之所以未及时通知会 员，主要是因为侦查期间不公开，为避免打草惊蛇，加上检察官建议先提起告 诉，再通知资料被窃者处理後续，今天将主动通知当事人。 一名资料被骇客公开的杨先生气愤地表示，因为站方规定ＶＩＰ必须留真实的 资料，因此他相当老实地留下个人真实资料，却没想到反遭窃取，虽然到目前 为止还没有接到骚扰电话，但还是很担心资料外泄後的影响，一定要向站方抗 议。 林弘全强调，每天都有来自全世界各地的骇客来挑战，但在站方的努力下，都 能击退对手。无名小站不论付费或一般会员，个人资料保护都是用最高等级， 并不会有差异，网友可以放心使用。 ---------------------------------------------------------------------- ＸＳＳ 利用程式漏洞抓资料 〔记者郭怡君、袁世忠／台北报导〕针对骇客入侵无名小站部落格窃取个人资 料，以扫毒软体、防火墙程式闻名的趋势公司建议，在确认网站的可靠度前， 民众最好别随便留真实的资料。 趋势科技说，ＸＳＳ这种侵入方式，大约在二○○二年就出现，手法是利用撰 写网页的程式漏洞，植入恶意程式或抓资料，有些也会进入网页後，将连结导 入另一个假的网站，不知情的网友连上後，任何留下的资料都被会骇客接收走， 甚至同样被植入後门程式。 由於一般民众难以区别，趋势公司建议，民众最好别随便留真实的资料，另也 可以多利用防护、扫毒软体。 负责建置国家资通安全会报的行政院科技顾问组表示，对於官方网站的防护， 近几年已和中央及地方政府密切保持联系，并且加强教育宣导。 科顾组执行秘书兼发言人汪庭安指出，政府任何机密文件，在电脑上必须做到 「实体隔离」，也就是使用完全不上网的电脑处理机密资料。 汪庭安强调，资讯技术发展日新月异，骇客手法越来越高明，但官方单位维护 资通安全的人力和经费都严重不足，以科顾组的资安小组为例，只有六、七人 却要负责帮忙全国资安事务，防护相当辛苦，亟需立法院和地方议会支持。 ---------------------------------------------------------------------- 妨害电脑使用罪 刑法第三十六章—第三五八条：无故输入他人帐号密码、破解使用电脑之保护 措施或利用电脑系统之漏洞，而入侵他人之电脑或其相关设备者，处三年以下 有期徒刑、拘役或科或并科十万元以下罚金。 第三六二条：制作专供犯本章之罪之电脑程式，而供自己或他人犯本章之罪， 致生损害於公众或他人者，处五年以下有期徒刑、拘役或科或并科二十万元以 下罚金。 ---------------------------------------------------------------------- 教战守则：勿随便留真实资料 如果担心个人资料遭窃取而泄露，百分之百的安全手法，只有不在网路上留任 何正确的资料。 个人的电脑最好也要安装防护程式，以免遭植入後门程式。 想要加强资讯和网路安全知识的民众，可到科顾组建置的资安健检网站下载： http://www.nicst.nat.gov.tw/event200（整理：记者袁世忠） ---------------------------------------------------------------------- 小档案：无名小站─国内最大部落格服务网 无名小站创立於一九九九年，由交大资工所简志宇、吴纬凯、林弘全、邱建熹 与交大资工系潘韦丞、陈轩昀等六人在学校内架设成立，一开始仅是ＢＢＳ的 功能，後来加上了网路相簿，并且开放校外人士使用。 由於免费申请使用，迅速获得网友们的青睐，使用人数直线上升，特别是因为 许多网友在相簿中贴美女图片，让人气更是旺上加旺；由於使用学术网路遭到 质疑，加上网站流量太大，让机器故障当机一周，最後在企业的投资下，二○ ○五年三月脱离学术网路，成立无名小站股份有限公司。 无名小站目前是台湾最大的提供部落格服务的网站，会员超过一百八十万人， 除了免费的一般会员，还有缴费的ＶＩＰ会员，提供更大的空间、背景音乐与 页面没有广告的服务，也吸引不少影剧、政治人物前来架设部落格，与网友们 互动。 之前传出雅虎奇摩有意以七亿元并购，合并案已经送公平会审议，不过，无名 小站很低调，迄今仍否认。 除了创下许多台湾奇蹟，无名小站也发生不少乌龙。例如无预警以格式化的页 面更换使用者的设定，让许多资深玩家出走；日前创办人之一的吴纬凯以「测 试」名义，让另一部落格、相簿网站PIXNET流量异常两小时，遭到网友挞伐等 （整理：记者袁世忠） -- 夫兵者不祥之器物或恶之故有道者不处君子居则贵左用兵则贵右兵者不祥之器非君子 之器不得已而用之恬淡为上胜而不美而美之者是乐杀人夫乐杀人者则不可得志於天下 矣吉事尚左凶事尚右偏将军居左上将军居右言以丧礼处之杀人之众以哀悲泣之战胜以 丧礼处之道常无名朴虽小天下莫能臣侯王若能守之万物将自宾天地相合以降甘露民莫 之令而自均始制有名名亦既有夫亦将知止知止可以不殆譬道之在天140.122.150.47海 chis:><好可怕我的该不会已经流出去了吧= = 11/21 22:10 chis:><............................好讨厌的骇客啊 11/21 22:11 garnier:东海大学 囧!!! 11/21 22:25 kensbar:我还想说为什麽都没人提出这条新闻咧..... 11/21 22:39 kensbar:今天看到吓一大跳。 11/21 22:39 -- 夫兵者不祥之器物或恶之故有道者不处君子居则贵左用兵则贵右兵者不祥之器非君子 之器不得已而用之恬淡为上胜而不美而美之者是乐杀人夫乐杀人者则不可得志於天下 矣吉事尚左凶事尚右偏将军居左上将军居右言以丧礼处之杀人之众以哀悲泣之战胜以 丧礼处之道常无名朴虽小天下莫能臣侯王若能守之万物将自宾天地相合以降甘露民莫 之令而自均始制有名名亦既有夫亦将知止知止220-134-29-36.HINET-IP.hinet.net海