作者olmtw (olmtw)
看板MobileComm
标题[新闻] 499 续约爆出个资安全大漏洞!远传回应:
时间Wed Jun 10 21:47:50 2020
499 续约爆出个资安全大漏洞!远传回应:疏於防范有心人士
文/记者黄肇祥、刘惠琴/ 2020-06-10 15:36
「499 之乱」引爆电信业者大战,今(6/10)传出远传官方传送的续约简讯有资安漏洞,
轻松就能查看用户的个人资料。经向远传电信查证,远传下午给出了回应。
被媒体爆出远传近日向申办 499 方案的用户寄出续约优惠广告,被意外发现网址结尾
是以手机号码作为区分,直接更换为其他远传用户的号码,竟也能通过系统验证。直接
查看网页後台资讯,包含姓名、住址、电子邮件、身分证字号等个人资讯也都一览无遗
。据悉,该漏洞无需复杂的资安技术即可达成。
经记者向远传查证,官方表示在获知消息後随即展开内部调查,发现该续约简讯提供的
客制化设计流程,确实有疏忽防范有心人士的破绽,对造成用户安全疑虑的缺失深感抱
歉,将持续检讨改进。目前发现到极少数个案,将会主动联系用户。此外,远传也强调
将配合警方调查,以清查是否有不法人士藉此取得不当资讯侵害用户个资隐私。
远传官方回应全文 请点下一页:
https://3c.ltn.com.tw/news/40660
远传官方回应全文如下:
远传感谢某位用户的指正,我们已经立即将续约简讯的客制化服务关闭。一般用户还是
可以透过身分验证程序後,由网路登录完成续约。
对於本公司本次简讯续约的设计,是让我们特定用户本人以特定连结登入後仅能看到自
己的资料,方便续约。但是的确疏於防范有心人士,透过其个人电脑背景找寻系统破绽
去查看其他消费者的资料,远传已经在检讨改进。
我们也立即清查过去以来,是否有不法人士透过这样的方式查询其他消费者资料,确实
发现了极少数个案,我们会主动联系这几位客户。对於以不当方式查询他人个资的人,
我们也会与警政单位配合调查并了解用途。请用户安心。
对此事件,远传深感抱歉,也很遗憾未能被即时告知即时改正。还希望所有爱护远传的
用户对我们的缺失随时不吝指教,我们一定即时慎重处理。
https://3c.ltn.com.tw/news/40660/2
心得:
这篇新闻有两页,第一页、第二页下面放分别的连结
回来看这件事情
对於远传电信实在是太疏忽了一点,毕竟是非常简单就能看到别的消费者资料
希望不要造成太大的损害才是
--
Sent from
Google Chrome on
Windows 10 Pro.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.136.148.35 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1591796873.A.450.html
1F:推 abc0922001 : 笑死,请高职生做的吗 06/10 21:49
2F:嘘 tom282f3 : 疏於防范有心人士是三小 这在欧盟准备赔到破产 06/10 21:51
3F:嘘 tom282f3 : 未看先猜直接用GET 06/10 21:53
4F:→ a27588679 : 可以直接查一些网路名人的资料了 06/10 21:54
5F:推 RG5678 : #有心人士# 06/10 21:55
8F:嘘 temu2015 : 有谁要去测试张x英文学生系统?预设密码等於帐号末四 06/10 21:59
9F:→ temu2015 : 码,帐号是年份+流水号,随便登几个都能查到个资。 06/10 21:59
10F:→ kai08130623 : 有心人士哏 06/10 22:13
11F:→ dantes1013 : 对於业者疏失造成的个资可能外泄,没有罚则?? 06/10 22:18
12F:嘘 WLR : 烂成这样,就别推给有心人士了 06/10 22:21
13F:→ jameshcm : 政府都可以外流两千万笔RIS的资料了,民间企业算啥? 06/10 22:23
14F:→ jameshcm : RIS是什麽,"内政部户政司"馁 06/10 22:23
15F:推 ctes940008 : 嘻嘻 06/10 22:36
16F:嘘 Gedu : 被IT高手攻击惹 06/10 23:25
17F:推 doom3 : 门没锁你光明正大走进来就是有心人士 cc 06/10 23:38
18F:推 chenming867 : 最近大家对於有心人士的定义越来越不一样了cc 06/10 23:58
19F:→ cauliflower : 门没锁光明正大进去拿东西的,通常叫勇者 06/11 00:01
20F:→ s801107 : 疏於防护 06/11 00:30
21F:推 senma : 只有远传 没有距离(个资意味) 06/11 00:33
22F:推 hyghmax1202 : 「目前发现到极少数个案」只要出问题都用这种说法 06/11 02:45
23F:→ hyghmax1202 : 粉饰太平 阿捏母汤 06/11 02:45
24F:嘘 kelvin0004 : 怎不乾脆说IT高手入侵 IP被注入病毒算了 06/11 03:26
25F:→ kelvin0004 : 隐私权政策写爽的 06/11 03:26
26F:嘘 McFc : 请问有没有连署提告,一人应该可以拿个一万多赔偿吧 06/11 05:36
27F:推 gooho : 开放性网址被连入叫有心人士?这逻辑?公关跟法务 06/11 06:47
28F:→ gooho : 该换人了 06/11 06:47
29F:推 aresa : 这在美国告起来每个人可以赔个几十万吧 06/11 10:11
30F:推 s0831720 : 个资真的很重要,不过远传有立刻出来声明并改进,是 06/11 16:50
31F:→ s0831720 : 还算蛮负责任的 06/11 16:51
32F:→ qqq15963 : 这实在有点扯啊!这麽大间的公司… 06/11 19:55
33F:推 mytvpoly : 觉得远传道歉也很即时,算有诚意的,毕竟个资问题 06/11 20:37
34F:→ mytvpoly : 很严重,感觉接下来也不会再有类似状况发生 06/11 20:37
35F:推 Snufkin : 道歉很即使?资料都不知道被爬多少了? 06/12 10:15