iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 12
3
Security

三十篇資安實例分享及解析系列 第 12

三十篇資安實例分享及解析DAY 12--科技董座扮「白帽駭客」,竄改高鐵票價,判賠15萬寫悔過書

(1)事件:科技董座扮「白帽駭客」,竄改高鐵票價,判賠15萬寫悔過書 (新聞來源: https://www.ettoday.net/news/20160821/759684.htm )
(2)被攻擊單位:台灣高鐵
(3)系統:車箱升等的電腦網路購票系統
(4)時間:2015年03月
(5)攻擊方式:訂票系統的漏洞

這是一個比較舊的案例,該案例比較有趣的地方,是這位科技董座許先生說的一句話:


「我對臺灣民間企業的資安了解就是,銅牆鐵壁卻忘了關門。臺灣人做東西都只做表面,先交再說,有洞再補洞。不過我也是這種人啦。」

以該案來說,根據新聞後來的說法,許嫌先在高鐵網頁填選資料,然後擷取原始碼、修改票價,再傳給信用卡公司,完成購票手續,基本上,有點程度的駭客都能做到這個程度。只能說高鐵網站防火牆不足,沒有及時發現並修補漏洞。加上高鐵警覺性不足,才會有這個事件的發生。

筆者再此要說一個重點,就是『忘記關門』這件事情,科技來自生活日常,一間房子正常的情況下,都會有鐵窗、鐵門等等設施,當我們人外出不在家時,正常我們都會鎖門,甚至於會設警報、保全系統等等,這個關門、設保全的動作,正常的情況下(不討論特例),執行這個動作的是甚麼?
答案就是 :人

如果有天不小心沒鎖門,遭竊時,正常情況下,除了竊賊如何入侵方式之外,我們在檢查門窗之後,一定會檢討的是誰沒鎖門。筆者這個邏輯,在正常的情況下,應該是沒問題吧!

把這個日常在平凡不過的事情,換到企業來說,企業不見得是照邏輯上的認知去處理的,如果有人入侵,企業當然會先查入侵者,接下來開始查的,就是防火牆、掃毒軟體有沒有效用,大致上前半段大致相同,但是很奇怪的是,企業很快下結論:加強資安

各位看完前兩段的敘述,有沒有漏洞需要補強呢?

漏洞就是,沒有檢討自己企業內部!

以這個個案來說,高鐵事後,就是修改訂票流程,當然公司內部不可避免也要提檢討報告,可是,漏洞的關鍵,人,有沒有修補呢? 這恐怕是要高鐵自己才知道。

今天是筆者第十二篇的資安案例,筆者舉的案例只有自己本身親身經驗分享,會反省自己之外,我們看到所有企業相關的案例(2017~2018年間),都認為自己是受害者,反而是外部人,才會劍指企業的錯誤在何處

所以外部稽核還是很重要的一環,資安不能沒有這塊拼圖,當然企業要自身檢討不足,如果結論都是加強資安,實際上對於資安的前景幫助是有限的。


上一篇
三十篇資安實例分享及解析DAY 11-- TAAZE"讀冊生活"二手書平台,個資外洩遭詐騙。
下一篇
三十篇資安實例分享及解析DAY 13--羽球球后戴資穎IG被駭,駭客詐騙募款
系列文
三十篇資安實例分享及解析30

1 則留言

2
SunAllen
iT邦高手 1 級 ‧ 2018-10-21 09:19:14

台灣不就是...
什麼都好,就是見不得人好。

什麼都對,就是別人不對。

什麼都錯,就是自己沒錯。

什麼都能檢討,就是不能檢討自己。

/images/emoticon/emoticon10.gif

彭偉鎧 iT邦新手 4 級 ‧ 2018-10-21 09:51:53 檢舉

忘了關門,外面會聽到!

還有
自己捨不得分享,總是要別人分享

SunAllen iT邦高手 1 級 ‧ 2018-10-21 11:37:02 檢舉

本以為,開民宿時,就已經見識到...來自『日本以西南」『韓國以東南』『菲律賓』以北的那個島國,部份客人的...奧義之處了。

就在昨天,我發現我只是井底蛙...來自『日本以西南」『韓國以東南』『菲律賓』以北的那個島國,部份客人的大絕,昨天,我看見了.

我要留言

立即登入留言