iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 27
1
Security

三十篇資安實例分享及解析系列 第 27

三十篇資安實例分享及解析DAY 27--「貝殼放大股份有限公司」因資訊安全管理不慎,造成個資外洩

"所有事物的價值觀,正與邪的判斷基準都是在相對比較的情況下所產生的,這一點不管再怎麼加以強調也都是對的。而人類所能作出的最佳選擇,只不過是在眼前所出現的眾多事物與現象當中,將被認為是比較好的那一方加諸在自己身上而已。"
                                                       銀河英雄傳說 揚威利名言

(1)事件:「貝殼放大股份有限公司」因資訊安全管理不慎,造成個資外洩。(新聞來源:https://www.ettoday.net/news/20181102/1296603.htm )
(2)被攻擊單位:貝殼放大股份有限公司
(3)系統:Amazon S3 Server
(4)時間:2018年11月
(5)攻擊方式:網路爬蟲

最近選舉很火熱,這個新聞是這兩天才出來的,筆者先聲明不支持任何政黨,只單就新聞內提到的資安事件做個探討。

貝殼放大這家公司是透過群眾募資而成的公司,前幾年,櫃買中心(OTC)有跟群眾募資平台flying V合作,但因為有些群眾募資涉及到政治敏感的議題,最後,還是解除合作關係,然而,這些募資平台,也是為了鼓勵有理想但缺乏資金的公司,能夠透過另一種方式,得到資金挹注。要經營一個企業,沒資金挹注是很辛苦的,募資平台就是提供企業解決資金問題的其中一個方式。

台灣比較有名的幾個募資平台,如:flying V、嘖嘖zeczec 都是不錯的群眾募資平台。以上給各位參考。

我們回歸資安方面的議題,首先引用貝殼放大公司於11/2於官網的部分聲明:(詳見官網:https://www.backer-founder.com/issue.html?utm_source=officialsite&utm_medium=banner&utm_campaign=infoseccurity )

此次 Backme 發生資安疑慮之因:
個資外洩管道為國外之第三方爬蟲網站,該網站於 2018 年 7 月正式成立後,爬取超過 70,000 個於 Amazon S3 Server 建置之網站,並將其未經授權取得之資料與檔案連結發佈於該爬蟲網站上。

Backme 貝殼集器於開發過程中為提供使用 Backme 之提案團隊下載其發起專案之贊助者資料,亦將部分資料儲 / 暫存於上述 Amazon S3 Server 上,故發生本次個資外洩事件。

我們先定義一下,何謂網路爬蟲:(摘錄自維基百科)

網路爬蟲(英語:web crawler),也叫網路蜘蛛(spider),是一種用來自動瀏覽全球資訊網的網路機器人。其目的一般為編纂網路索引。

網路蜘蛛,其實不是甚麼駭客技術,只是為了強化搜尋功能,讓資料搜尋能像蜘蛛網一樣,佈滿整個網路,所演化出來的技術。因為搜尋的功能被強,所以很容易搜尋到被留在網路上的歷史紀錄,舉個例子來說,譬如說網路上有些很早以前的pdf、word、powerpoint等等的檔案,可能是上課簡報,也可能是一些過期的榜單等等,可能在使用完完畢之後,就棄置在網路上未刪除。那麼此時,就會被有心人士拿去使用與分析。

在早期大家不注意資安的情形下,像google就有提供歷史瀏覽,也就是說,即使網頁已經掛了,依然可以看到server上面留下來的紀錄。不過,筆者認為這也是歷史共業之一,因為早年網路行銷開始盛行的時代裡,大家都想透過網路打知名度,所以把資料大量曝光,但現在進入資安時代,大家開始轉而注意到資料保全的問題,此時從大量曝光,到開始注意隱私,感覺就像水能載舟亦能覆舟一樣,資安與行銷變成兩面刃一般,取捨之間,就看使用者的需求及目的了。


上一篇
三十篇資安實例分享及解析DAY 26--嘉義阿里山一對賣牛肉麵的夫妻和一名駭客聯手,入侵台中一家機械公司的郵件伺服器
下一篇
三十篇資安實例分享及解析DAY 28--銀行過度依賴IBM系統,造成自動提款機2018年10月連續當機多次,金管會下令全體銀行盤點主機
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言