報告!江蕙演唱會售票系統有漏洞 企業資安漏洞多 有請「駭客」補破網

台灣資安問題有多嚴重,根據Vulreport漏洞回報平台的統計資料顯示,光是從該平台去年11月底試運作到今年2月上旬,所接獲的資安漏洞通報就高達400件。

2015/03/24 出處:財訊雙週刊 第 472 期 作者:李宜儒

記得引發社會關注的江蕙演唱會搶票事件嗎?當時外界焦點都集中在搶不到票,但是很少有人注意到,在搶票問題背後,隱藏的資訊安全問題,一個測試企業網站的神祕駭客社群Vulreport,就發現了演唱會售票系統的漏洞。

根據Vulreport的回報紀錄,光是日前的江蕙演唱會售票,就分別傳出宏碁雲端所設計的售票系統,駭客可透過漏洞更改消費者所登記的購票紀錄,以及寬宏售票系統出現漏洞,購票交易金額將可遭到竄改等問題。宏碁發言系統回應,問題在售票之前已完成修補,資料並未外洩。

Vulreport漏洞回報平台則是由2005年成立的台灣駭客年會(HITCON)所延伸出來,是台灣第一個資安漏洞回報平台,一四年11月底開始試運作,開放由各地的駭客將其所發現的網站漏洞回報給該平台,經確認確有漏洞時,隨即通報該網站單位進行漏洞修補,若網站單位不予理會,30天後則會將該網站公開。

台灣首個資安漏洞回報平台

Vulreport取名的由來,是取自Vulnerability(弱點)的英文前3字,平台成員之一的蘇展志表示,目前平台成員約7人,但多以兼職性質為主。今年44歲的蘇展志,留著及肩長髮,綁著一個小馬尾,外形有點類似日本影星真田廣之,網路代號Sylphid,他曾任電腦系統資安工程師10多年,專長就是網站滲透測試。

由於近來因網路機器人程式愈來愈多,不少企業改用網路機器人程式來測試網站安全,「但畢竟網路機器人是由人所設計的,反應上絕對不如人靈活,反而給有心人士可趁之機,網站資安漏洞問題也愈來愈嚴重。」蘇展志說。

回顧Vulreport成立緣起,蘇展志透露,其實早在3年前,他跟HITCON創辦人徐千洋就有成立回報平台的想法,不過因為大家當時都有正職工作,很難撥出時間兼顧,直到去年蘇展志工作告一段落,才正式由他推動建置Vulreport的任務。蘇展志說,「Vulreport的定位是非營利組織」,收入來源將是企業會員的贊助為主,贊助企業則可增加公開網站名的緩衝時間。

Add to Flipboard Magazine.
踢爆無良老闆搬錢內幕
財訊雙週刊第517期
出賣強勢股名單
財訊趨勢特刊第63期
熱門文章
搖擺蔡英文讓她半年一事無成

搖擺蔡英文讓她半年一事無成
缺乏主軸的忙茫盲 執政的4大錯誤

半年多來,抗議從沒停過,這是台灣公民社會發展的必然,這不是蔡英文的失敗。她真正失敗的地方在於,無法召喚支持者的熱情,也沒有做什麼大事讓人跟在她後面吶喊。

more


TOP