iT邦幫忙

1

請教應用程式漏洞造成重大損失的新聞?

虎虎 5 月前2800 瀏覽

各位大大好,由於又到了年末報告的時候了,這次想找相關應用程式漏洞造成重大損失的新聞來破解,但一直覺得不太適當,是否能給一點建議或其他新聞參考呢?

這裡知道的有金融業:
英國匯豐銀行因遭到DDoS攻擊 (DDos)
孟加拉央行遭到駭客盜領8,100萬美金(社交工程?疑似惡意軟體,植入第三方應用程式))
香港匯豐、中銀8證券帳戶遭到駭客入侵,金額686萬(疑似平台程式漏洞)
越南先鋒銀行差一點被駭客轉走120萬歐元(疑似惡意軟體,植入第三方應用程式)
日本的Seven、Enet銀行以及郵局等ATM提款機,被盜領18.6億日圓。(原因不明)
DAO則遭到駭客領走超過360萬個以太幣,7,200萬美元(疑似為程式漏洞)
第一銀行ATM遭到駭客盜領7千多萬元(疑似入侵印表機後,植入惡意程式)
香港Bitfinex遭竊,損失近12萬比特幣,約7,800萬美元(疑似為程式漏洞)

有沒有其他的「應用程式的弱點造成的重大的損失」相關新聞可以參考呢?謝謝~

看更多先前的討論...收起先前的討論...
ayu iT邦研究生 2 級 ‧ 5 月前 檢舉
關於手法與技術, 通常只能輕輕帶過, 不宜公開細節, 除非是很久遠以前的漏洞.
如果是要找相關新聞, 又可分, 吸引一般民眾眼球的, 以及內行人才懂的. 同樣可造成重大損失, 但後者對一般讀者而言無感, 甚至不相信.
虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉
哭哭想先求有再求好 XD
clonn iT邦新手 3 級 ‧ 5 月前 檢舉
ubike 大當機 XDDDDDDDD
虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉
超酷的!謝謝你!!!
哈哈哈哈哈~
1
wwx
iT邦研究生 1 級 ‧ 5 月前
最佳解答

真正的破解是要無償使用又不會被發現喔!
很多駭客的招式都是會被紀錄並能被追蹤追究的,
更糟的是事後會被主動發現!
基於此才會有那麼多大膽的便宜行事,
用簡單的架構或機制而故意有被挑戰破解的風險。

比如玩遊戲賺黃金存摺惦惦玩完進帳,不會有新聞...
比如買賣外匯可立即獲利進帳,不會有新聞...
比如戶頭平白多出數十億幫忙生利息進帳,不會有新聞...

至於那種破解的大新聞都只是作新聞而已罷了!
真的漏洞都是企業自身人的問題懂吧!
遭攻擊遭破解都只是藉口而已。

比如1st銀花十億更換ATM買形象,ATM何罪之有呢?
呵~~
銀行脫身,警察沾光,台灣發亮... 真相消失不見啦~

假的

真的

傻傻分不清楚

業障重阿!

看更多先前的回應...收起先前的回應...
虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

呀呀,謝謝大大認真的回覆…
其實只是想拿「如果應用程式沒有寫好,會造成什麼樣的狀況」的新聞,來當破題而已啦 XD

話說 ATM … 嗯… 其實還真的不少案例…
可惜大部份的調查結果的漏洞都顯示說是社交工程植入惡意程式這樣…
比較難拿來當破題 QAQ"

wwx iT邦研究生 1 級 ‧ 5 月前 檢舉

漏洞很少會承認的,為何現在都強調要自動更新?就是因為總是有漏洞想偷偷補...然後更新的隔天發生狀況的一堆!說漏洞太攏統了,其實就是邏輯不夠嚴謹所以會發生非預期內的事件就跟程式沒寫好會發生不可預期的錯誤是一樣道理,造成的問題一是可以複製重複發生,二是隨機發生仍不明所以,前者會安排修補後者則是保持觀察,怎麼觀察?換版再換版試試看狀況是否解除了...囧,所以更新常出狀況就是這樣,而漏洞的存在和損失的大小無直接相關,是看漏洞是否容易利用和利用漏洞的人作了什麼事!!

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

「漏洞很少會承認的」 根本戳中 XDDD
所以才想要找程式漏洞的新聞嘛… 像2013 的中國信託 SQL Inection 的漏洞有上過新聞,其他都不太有這個機會講到說需要修補漏洞的新聞…

謝謝大大,我有重新記下漏洞的定義了 XD
「其實就是邏輯不夠嚴謹所以會發生非預期內的事件就跟程式沒寫好會發生不可預期的錯誤是一樣道理」
但邏輯問題有時候沒辦法拿來說服客戶的(雖然台灣很多) QAQ

PS.之前報告被噴滿臉說不能用台灣的例子 & 2013太久了,所以想來這裡問問啦 XD

wwx iT邦研究生 1 級 ‧ 5 月前 檢舉

例子? 寶可夢外掛算不算阿!?
漏洞很多的~光是檢查TCP port有沒有開啟
http://ftw.edu.wwx.tw/solutions/xing-qing-cheng-shi-shuo-ming/log_killers/log_killer_files/ChkTcpService.rar?attredirects=0&d=1
這樣的一隻小程式就有很多TCP服務的程式可能會被弄掛了! 千萬不要去亂玩別人~ 說過了...還是查的出來的!

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

謝謝大大!這正是我要的!:)

wwx iT邦研究生 1 級 ‧ 5 月前 檢舉

像是SSL/TLS只是傳輸層的加密協議,寶可夢用的Google Protobuf也是以此再包一層,殊不知既然是傳輸層那麼任何人都可用對應的應用元件就能直接看傳輸什麼了~所以應用上沒加密就是沒秘密可言!諸多業界經常強調用了SSL/TLS說保證安全其實是非常無知可笑的!

1
WilliamHuang
iT邦大師 1 級 ‧ 5 月前

這個估歌比較快比較多
/images/emoticon/emoticon39.gif

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

謝謝大大,我嘗試了但很少報導有提到手法或是技術,所以想來這裡問問看 XDDDD

newkevin iT邦高手 1 級 ‧ 5 月前 檢舉

應該蒐尋 駭客相關論壇 比較有機會
但通常建議 最好是單獨的電腦
去後重灌 預防萬一呵呵

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

謝謝大大,是有 VM 環境可以玩啦 XD
我有去爬了幾個對岸或國外的,都只有新聞而已,手法或技術都沒有提到 ,所以才試著想問問這樣 XD

1
海綿寶寶
iT邦超人 1 級 ‧ 5 月前

妳那些都是洋人的事件
這才是正港的台灣事件
/images/emoticon/emoticon77.gif

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

謝謝大大,但如果報告台灣事件,有時候會得罪客戶的 QAQ"

虎虎 iT邦新手 5 級 ‧ 5 月前 檢舉

//話說您貼的這則新聞是我前同事呀 XDDDD

我要發表回答

立即登入回答