作者olmtw (olmtw)
看板MobileComm
標題[新聞] 499 續約爆出個資安全大漏洞!遠傳回應:
時間Wed Jun 10 21:47:50 2020
499 續約爆出個資安全大漏洞!遠傳回應:疏於防範有心人士
文/記者黃肇祥、劉惠琴/ 2020-06-10 15:36
「499 之亂」引爆電信業者大戰,今(6/10)傳出遠傳官方傳送的續約簡訊有資安漏洞,
輕鬆就能查看用戶的個人資料。經向遠傳電信查證,遠傳下午給出了回應。
被媒體爆出遠傳近日向申辦 499 方案的用戶寄出續約優惠廣告,被意外發現網址結尾
是以手機號碼作為區分,直接更換為其他遠傳用戶的號碼,竟也能通過系統驗證。直接
查看網頁後台資訊,包含姓名、住址、電子郵件、身分證字號等個人資訊也都一覽無遺
。據悉,該漏洞無需複雜的資安技術即可達成。
經記者向遠傳查證,官方表示在獲知消息後隨即展開內部調查,發現該續約簡訊提供的
客製化設計流程,確實有疏忽防範有心人士的破綻,對造成用戶安全疑慮的缺失深感抱
歉,將持續檢討改進。目前發現到極少數個案,將會主動聯繫用戶。此外,遠傳也強調
將配合警方調查,以清查是否有不法人士藉此取得不當資訊侵害用戶個資隱私。
遠傳官方回應全文 請點下一頁:
https://3c.ltn.com.tw/news/40660
遠傳官方回應全文如下:
遠傳感謝某位用戶的指正,我們已經立即將續約簡訊的客製化服務關閉。一般用戶還是
可以透過身分驗證程序後,由網路登錄完成續約。
對於本公司本次簡訊續約的設計,是讓我們特定用戶本人以特定連結登入後僅能看到自
己的資料,方便續約。但是的確疏於防範有心人士,透過其個人電腦背景找尋系統破綻
去查看其他消費者的資料,遠傳已經在檢討改進。
我們也立即清查過去以來,是否有不法人士透過這樣的方式查詢其他消費者資料,確實
發現了極少數個案,我們會主動聯繫這幾位客戶。對於以不當方式查詢他人個資的人,
我們也會與警政單位配合調查並了解用途。請用戶安心。
對此事件,遠傳深感抱歉,也很遺憾未能被即時告知即時改正。還希望所有愛護遠傳的
用戶對我們的缺失隨時不吝指教,我們一定即時慎重處理。
https://3c.ltn.com.tw/news/40660/2
心得:
這篇新聞有兩頁,第一頁、第二頁下面放分別的連結
回來看這件事情
對於遠傳電信實在是太疏忽了一點,畢竟是非常簡單就能看到別的消費者資料
希望不要造成太大的損害才是
--
Sent from
Google Chrome on
Windows 10 Pro.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.148.35 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobileComm/M.1591796873.A.450.html
1F:推 abc0922001 : 笑死,請高職生做的嗎 06/10 21:49
2F:噓 tom282f3 : 疏於防範有心人士是三小 這在歐盟準備賠到破產 06/10 21:51
3F:噓 tom282f3 : 未看先猜直接用GET 06/10 21:53
4F:→ a27588679 : 可以直接查一些網路名人的資料了 06/10 21:54
5F:推 RG5678 : #有心人士# 06/10 21:55
8F:噓 temu2015 : 有誰要去測試張x英文學生系統?預設密碼等於帳號末四 06/10 21:59
9F:→ temu2015 : 碼,帳號是年份+流水號,隨便登幾個都能查到個資。 06/10 21:59
10F:→ kai08130623 : 有心人士哏 06/10 22:13
11F:→ dantes1013 : 對於業者疏失造成的個資可能外洩,沒有罰則?? 06/10 22:18
12F:噓 WLR : 爛成這樣,就別推給有心人士了 06/10 22:21
13F:→ jameshcm : 政府都可以外流兩千萬筆RIS的資料了,民間企業算啥? 06/10 22:23
14F:→ jameshcm : RIS是什麼,"內政部戶政司"餒 06/10 22:23
15F:推 ctes940008 : 嘻嘻 06/10 22:36
16F:噓 Gedu : 被IT高手攻擊惹 06/10 23:25
17F:推 doom3 : 門沒鎖你光明正大走進來就是有心人士 cc 06/10 23:38
18F:推 chenming867 : 最近大家對於有心人士的定義越來越不一樣了cc 06/10 23:58
19F:→ cauliflower : 門沒鎖光明正大進去拿東西的,通常叫勇者 06/11 00:01
20F:→ s801107 : 疏於防護 06/11 00:30
21F:推 senma : 只有遠傳 沒有距離(個資意味) 06/11 00:33
22F:推 hyghmax1202 : 「目前發現到極少數個案」只要出問題都用這種說法 06/11 02:45
23F:→ hyghmax1202 : 粉飾太平 阿捏母湯 06/11 02:45
24F:噓 kelvin0004 : 怎不乾脆說IT高手入侵 IP被注入病毒算了 06/11 03:26
25F:→ kelvin0004 : 隱私權政策寫爽的 06/11 03:26
26F:噓 McFc : 請問有沒有連署提告,一人應該可以拿個一萬多賠償吧 06/11 05:36
27F:推 gooho : 開放性網址被連入叫有心人士?這邏輯?公關跟法務 06/11 06:47
28F:→ gooho : 該換人了 06/11 06:47
29F:推 aresa : 這在美國告起來每個人可以賠個幾十萬吧 06/11 10:11
30F:推 s0831720 : 個資真的很重要,不過遠傳有立刻出來聲明並改進,是 06/11 16:50
31F:→ s0831720 : 還算蠻負責任的 06/11 16:51
32F:→ qqq15963 : 這實在有點扯啊!這麼大間的公司… 06/11 19:55
33F:推 mytvpoly : 覺得遠傳道歉也很即時,算有誠意的,畢竟個資問題 06/11 20:37
34F:→ mytvpoly : 很嚴重,感覺接下來也不會再有類似狀況發生 06/11 20:37
35F:推 Snufkin : 道歉很即使?資料都不知道被爬多少了? 06/12 10:15