PChome私密照全洩

手機登相簿 免密碼認證

 

PChome網路相簿出包,電腦版上鎖相簿須靠密碼打開,手機版卻可免密碼開啟。

 

太可怕了!國內三大入口網站之一PChome,創立十八年、會員數超過一千四百萬,卻出現大漏洞,原本設定密碼瀏覽的私密相簿,竟可輕易使用智慧手機無限瀏覽,完全不必密碼認證,會員上傳私密照全被看光光。PChome昨晚坦承手機版未同步更新,已緊急修正,須依原有設定才能觀看。昨晚八時許,PChome已將手機版關閉,但恐有不少網友私密照已遭人備份。

手機上PChome相簿,可輕易看到中國女模清涼照。from:http://www.appledaily.com.tw/appledaily/article/headline/20140210/35630684

 

 

百萬戶遭殃「快刪照片」
《蘋果》實測揪出 PChome連夜堵漏

擁有上千萬會員、相簿用戶上百萬的PChome,遭投訴外洩私密照!《蘋果》接到讀者投訴,指他自拍露鳥照放在上鎖加密的PChome相簿,透過智慧型手機開啟「手機版」網頁,竟不須密碼就可瀏覽。《蘋果》實測,以同事在PChome的相簿設定密碼鎖,以手機瀏覽,加密相簿都可隨選隨看。民眾直呼:「太扯了,要快把照片刪掉!」

對此,PChome行銷總監盧靜美昨晚表示,可能是內部作業時,手機版本沒同步更新導致。至於手機版本沒更新,是指設置手機版時就沒這個安全設定,還是系統未跟電腦版同步更新造成漏洞,她以細節問題尚需內部確認,未詳細回答。

盧靜美說,PChome相簿一般都設定公開居多,只有少數相簿因網友需求設定要密碼保護,受影響會員極有限,目前用手機觀看PChome相簿,已修正調整成要遵照原有設定才能觀看,但沒回應受影響會員人數及是否會作出賠償。

露鳥照遭友看光

據了解,網路家庭國際資訊股份有限公司(PChome Online Inc.)由知名媒體人詹宏志於一九九六年創辦,為上櫃公司,和Yahoo!奇摩、蕃薯藤(Yam)並列台灣三大入口網站,網路相簿會員約百萬戶。

從事資訊業陳姓男子(三十二歲)向《蘋果》投訴,朋友告知用手機看到他放在PChome相簿的私密照片,質問「怎有露鳥照片?」他當時一驚直說:「怎麼可能?我都有上鎖。」他自行以手機操作後,果然免密碼就可瀏覽,直覺應是PChome出問題,「這麼嚴重的問題,PChome卻沒發現?真讓人失望。」

民罵實在太變態

《蘋果》以Android及iOS兩系統手機,實測同事放在PChome加密的相簿,以電腦瀏覽時,須鍵入密碼才能開啟,但手機卻可直接進入加密相簿,且毋須輸入密碼看照片,甚至在電腦版上網址輸入特定參數,也可直接進入手機版,隨意瀏覽加密相簿。但截至昨晚八時許PChome已恢復正常運作,智慧手機無法進入加密相簿瀏覽照片。

民眾林巧樺(二十二歲)不可置信說:「這不就全世界都看光光,實在太變態!」民眾廖育翎(十六歲)驚呼:「這太恐怖!我會將照片刪除後不再使用。」大學生張富凱(二十一歲)說,不想給別人看的照片一定會上鎖,應是PChome系統出問題。

政院將調查資安

賴姓網路工程師指:「這是一個很大漏洞,PChome可能有人要被fire(開除)。」行政院資通安全辦公室主任蕭秀琴指,手機在安全驗證機制比電腦簡化,可能資訊安全防護有漏洞,會了解PChome是否資安不夠周延,再請主管機關經濟部要求業者改進。經濟部商業司長游瑞德昨說,此屬部落客與網路交易平台間契約關係,商業司並無此權限與規定。

偷看可判囚三年

刑事局表示,民眾若發現加密相簿不雅照外流,可先截取智慧型手機加密相簿未上鎖的螢幕畫面保全證據,再將不雅照移除,日後可個別提告或提團體訴訟。律師張建鳴也提醒,PChome因疏失導致相簿加密失效,民眾進入觀看,恐有觸犯《刑法》妨害電腦使用罪之虞,最重可處三年以下徒刑。

PChome Online及網路相簿小檔案

創立時間:
.網站創立於1996年
.1998年7月成立網路家庭國際資訊股份有限公司
創辦人:董事長詹宏志

業務:包括電子商務(線上購物)和入口網站業務,後者提供PChome Online入口網站包括電子信箱、網路相簿、個人新聞台、Kaza隨手拍、新聞頻道、線上小遊戲以及基金、股市頻道、虛擬交易所等網路服務

會員數:PChome Online擁有逾1400萬名會員;相簿約有百萬用戶

相簿運作:
.加入PChome相簿,會員可享有相簿容量無上限服務,但限制每月最多上傳300MB
.可公開相簿、設定密碼或隱藏相簿

收費方式:免費

資料來源:PChome官網 from:http://www.appledaily.com.tw/appledaily/article/headline/20140210/35630688

程式漏洞 手機瀏覽直接闖關

專家分析
知名PChome相簿竟出現大漏洞,可用智慧手機輕易瀏覽私密相簿。網路工程師Matis表示,PChome相簿出現此嚴重問題,應是網頁程式對手機瀏覽器完全不設防,一般網頁程式設計上除考慮到不同瀏覽器外,也會考量使用者運用何種裝置上網,會在Java Script語法(程式語言)支援度都考慮進去,「很顯然PChome未將手機版本列入考量,有沒有設密碼根本沒差異。」

Matis指出,網路工程師設計網頁時,一定要有資安背景,「出現這種狀況相當糟糕。」

老站出包令人訝異

擁有十幾年程式設計經驗的Neil也說,PChome相簿極可能是網頁程式語法中,手機瀏覽器進到網頁後,因無法辨識該瀏覽器,網頁程式就忽略原本設定密碼,直接讓瀏覽者過關,點入後即可觀看,「PChome是個老站,會出這種包太令人訝異。」

無名相簿多年前也曾發生網頁結構問題,不須任何駭客手法,只要安裝特定的抓檔案軟體,就可把包括上鎖的相簿全都下載抓走,造成受害正妹激情私密照至今仍在網路上流傳。

沒百分百安全網站

Matis指,網站提供空間讓會員存放照片,即使上鎖並不代表安全,加上現在資料都會放在雲端,建議類似個人私密照,還是不要存放在相簿以策安全,「全世界沒有百分之百安全的網站,破解只是時間問題。」from:http://www.appledaily.com.tw/appledaily/article/headline/20140210/35630701

 

 

 

 

 

 

arrow
arrow
    全站熱搜

    wendy 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄