Durex 線上購物系統於日前發生因為程式設計的錯誤,導致任何人都可以直接透過訂單編號查看訂單內容的烏龍事件。嚴格來說,這應該不只是程式設計的錯誤,亦包含了程式變更管控不佳,而這種問題絕對比單一程式設計錯誤所產生的危害更加嚴重。此外,這個問題要實際產生影響,訂單編號的可預測性是一個很重要的前提。訂單編號的可預測性,表示在系統分析階段並沒有做好安全性分析。這麼說或許有些不公平,因為表單的編號通常會被要求採用流水號的格式,因此具備了可預測性。這樣的規則對於一個內部系統 或人工作業流程有其方便性,但是對一個外部系統來說卻是充滿危機的。針對這類問題,我們有兩個可行的作法。第一個就是把訂單編號對應到另外一個不具備可預測性的號碼,所有外部系統皆以此號碼作為訂單的查詢條件。第二個作法就是利用可逆的加密函式將訂單編號加以編碼,而外部系統皆此以編碼後的號碼作為查詢條件。比較令人訝異的是 Durex 對於整件事情的反應,從一開始的道歉到後來寄出法律信件給回報此一問題的使用者,讓人覺得 Durex 面對問題的態度很有爭議性。而且 Durex 似乎並沒有主動告知其他客戶訂單資料可能外洩的問題,明顯有失責之處。嗯,說到訂單資料外洩,台灣這邊的問題似乎也頗嚴重的。所以下次買保險套或其他私人用品時,可別再相信甚麼網路購物比較不怕被人知道而避免尷尬這種爛理由了。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
自去年九月紐約時報 (The New Year Times) 網站的廣告被用來當作散布惡意程式的管道後,線上廣告儼然已經成為有心分子的新大陸,各個線上廣告的平台都可以看到類似的問題接連發生。根據 Avast 最新公布的訊息顯示,線上廣告的大廠 Yahoo’s Yield Manager 與 Fox Audience Network’s Fimserve.com 也成為新一波的受害者,而這兩家合計擁有超過五成的市占率。除了這兩家外,Google 的 DoubleClick 也被 Avast 點名,並獲得 Google 的證實。這類透過線上廣告散布的惡意程式,有些並不需要使用者點選就可以進行感染的動作,所以除了廠商必須做好把關的動作外,使用者還是必須採取足夠的自保措施才能避免遭受危害。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
在電影終極警探 4.0 中,年輕小夥子靠著呼攏客服人員順利”借”到一台車子。但是在現實世界中,卻有離職員工因為心生不滿而惡搞客戶的車輛,讓客戶的車子無法發動。這是發生在德州奧斯汀的真實案例,一個在德州汽車中心工作的員工,因為被公司解雇而懷恨在心,所以利用公司系統所提供的功能讓客戶的汽車無法發動。原先這個功能設計的目的是為了在客戶拒繳貸款時,能夠進行通知甚至鎖車以懲罰欠錢的客戶。只是沒想到這個員工在離職時,順手牽了另外一個員工的帳號,所以即使是自己原先的帳號已經被取消,仍舊可以進入系統並利用系統的功能進行破壞。這位員工運氣很好,取得資料庫的存取權限,所以受到影響的客戶高達上百人。這位離職員工已經被逮捕並加以起訴,而客戶除了遭受不便外,並沒有遭受財務或人身安全上的損失。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
