今日(10號)早上蘋果日報報導,有民眾投訴遠傳499續約簡訊中的網址存在漏洞,根據該民眾的說法,由於網址後方竟帶有用戶的手機號碼,因此可以不用高深的技巧,只要變更連結的手機號碼,再透過瀏覽器本身的網頁開發人員工具,就能檢視網頁後臺資料,輕易窺探他人個資。

對此,我們檢視過去遠傳發送的499活動簡訊,網址其實沒有沒有附上手機號碼,例如:https://fetnet.tw/UNOoRgXXXX。不過,以這次該民眾投訴的內容來看,簡訊中的網址末端則是用戶的手機號碼   https://www.fetnet.net/estore/renewal?SSO=09XXXXXXXX,一般民眾若直接前往這樣的連結,其實會跳轉回遠傳電信官網中,我的續約專屬優惠的首頁,若是已登入遠傳官網,則可以看到像是身分條件暫時無法續約的提示,推測只有符合續約專屬優惠的用戶受此漏洞影響。

為確認詳細狀況,我們在中午詢問遠傳電信,他們的官網是否存在這樣的弱點,以及修復的狀況,而對於影響範圍,也是民眾關心的焦點,是否只有符合續約專屬優惠的用戶才受到這次弱點的影響,還是所有用戶都受影響?

到了今日傍晚,遠傳回應了我們,提供他們的正式聲明,當中證實了此事。

根據遠傳的說明,他們已經將續約簡訊的客製化服務關閉,雖然沒有提到有多少用戶個資可能暴露,但表示已經清查過去是否有不當存取的事件,發現少數個案,不過沒有提到這些個案存取了多少的用戶資料,只說明會聯繫這些客戶,並將配合警政單位調查。

另外,他們也說明了這項簡訊續約的設計,是他們提供讓特定用戶本人,能以特定連結登入後,能夠看到自己的資料,方便續約。

不過,對於這項機制,後續他們提到,「但是的確疏於防範有心人士,透過其個人電腦背景找尋系統破綻去查看其他消費者的資料」,因此他們表示已在檢討改進。

從上述說法來看,提醒了民眾不要嘗試非法存取,然而,另一方面,以網站安全而言,外部使用者本應無權檢視該頁面內容,看起來,網站本身可能只有在第一次驗證身分,但未能在每個功能或頁面的存取都有驗證機制,因此,網頁可能存在無效存取管控的弱點。

 

今日傍晚,遠傳已經表示將續約簡訊的客製化服務關閉。當中午我們前往該網址時,都還可以看到網頁的內容(如圖左),到了傍晚則發現該網頁已經處於系統維護狀態(如圖右)。


熱門新聞

Advertisement