site logo: www.epochtimes.com

無名小站遇「駭」 個資流入中國

【字號】    
   標籤: tags:

【大紀元11月21日訊】〔自由時報記者黃敦硯、袁世忠/台北報導〕台灣最大部落格網站「無名小站」發生會員資料外洩事件!刑事警察局偵九隊三組查獲由東海大學大三陳姓學生與洪姓高三生組成的駭客集團,以「XSS漏洞」方式入侵無名小站。

中國駭客竟仿效 連結下載個資

警方已將兩人先以妨害電腦使用罪嫌送辦。不過,他們的手法似已引發中國駭客仿效,將取得的個人資料貼在中國的網站上,甚至還提供一個檔案連結,讓網友可以下載他所抓得的部分無名小站用戶資料。

「無名小站」存有近兩百萬會員個人檔案的資料庫,因此成為駭客練功的最愛之一。警方發現陳某涉嫌以「XSS漏洞」方式入侵無名小站,同時還在台灣駭客年會發表專題時,發表自己入侵無名小站的方法與駭客分享。

鑽XSS漏洞 侵30餘學校企業

警方也發現,化名「bf」(black farmer )的陳姓大學生(二十一歲 )與化名「IK」的洪姓少年共同成立駭客網站,改寫中國駭客撰寫的駭客程式,入侵國內包括中原、實踐、逢甲等三十多所學校與企業的電腦主機,偷取大批個人資料及商業機密,再於網站上大肆炫耀,還有不少學校的電腦社團都會找陳某(bf )去演講。

這些遭竊的會員資料部分已流傳到中國大陸;一名暱稱「黑雨天使」的網友,就在中國一個以駭客為主題的網路論壇上發表「號稱台灣最大Blog站點(無名小站 )存在嚴重XSS漏洞」文章,指出他在無意間測試台灣無名小站,沒想到「如此的爛,沒幾下子就搞定了」!

他甚至還提供一個檔案連結,讓網友可以下載他所抓得的部分無名小站用戶資料,包括真實姓名、聯絡電話、通訊地址、職業收入等,一覽無遺。

這篇文章貼出三天來,已經有近兩百人瀏覽,該網站主要是討論駭客技術、發表被駭網站為主。

警方表示,由於bf曾在駭客論壇上發表入侵無名小站的經過,可能因此有中國駭客仿效入侵。

無名小站:被竊資料僅13筆

與駭客激戰十多分鐘

〔記者袁世忠/台北報導〕無名小站昨日證實,會員資料庫確實在今年8月間遭駭客入侵,竊走部分資料,當初因為工作人員發現後,和對方在網路上展開十幾分鐘的攻防,最後終於逼退對方,初步統計僅有十三筆資料在過程中被竊走,站方在這次教訓後,就立刻修補系統漏洞。

無名小站董事長林弘全表示,事情發生當時就已向檢調單位報案,也已鎖定兩名特定人選,但並沒有馬上通知個人資料遭竊的當事人,之所以未及時通知會員,主要是因為偵查期間不公開,為避免打草驚蛇,加上檢察官建議先提起告訴,再通知資料被竊者處理後續,今天將主動通知當事人。

一名資料被駭客公開的楊先生氣憤地表示,因為站方規定VIP必須留真實的資料,因此他相當老實地留下個人真實資料,卻沒想到反遭竊取,雖然到目前為止還沒有接到騷擾電話,但還是很擔心資料外洩後的影響,一定要向站方抗議。

林弘全強調,每天都有來自全世界各地的駭客來挑戰,但在站方的努力下,都能擊退對手。 無名小站不論付費或一般會員,個人資料保護都是用最高等級,並不會有差異,網友可以放心使用。

XSS 利用程式漏洞抓資料

〔記者郭怡君、袁世忠/台北報導〕針對駭客入侵無名小站部落格竊取個人資料,以掃毒軟體、防火牆程式聞名的趨勢公司建議,在確認網站的可靠度前,民眾最好別隨便留真實的資料。

趨勢科技說,XSS這種侵入方式,大約在2002年就出現,手法是利用撰寫網頁的程式漏洞,植入惡意程式或抓資料,有些也會進入網頁後,將連結導入另一個假的網站,不知情的網友連上後,任何留下的資料都被會駭客接收走,甚至同樣被植入後門程式。

由於一般民眾難以區別,趨勢公司建議,民眾最好別隨便留真實的資料,另也可以多利用防護、掃毒軟體。

負責建置國家資通安全會報的行政院科技顧問組表示,對於官方網站的防護,近幾年已和中央及地方政府密切保持聯繫,並且加強教育宣導。

科顧組執行秘書兼發言人汪庭安指出,政府任何機密文件,在電腦上必須做到「實體隔離」,也就是使用完全不上網的電腦處理機密資料。

汪庭安強調,資訊技術發展日新月異,駭客手法越來越高明,但官方單位維護資通安全的人力和經費都嚴重不足,以科顧組的資安小組為例,只有六、七人卻要負責幫忙全國資安事務,防護相當辛苦,亟需立法院和地方議會支持。

妨害電腦使用罪

刑法第三十六章—第三五八條:無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

第三六二條:製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

教戰守則:勿隨便留真實資料

如果擔心個人資料遭竊取而洩露,百分之百的安全手法,只有不在網路上留任何正確的資料。

個人的電腦最好也要安裝防護程式,以免遭植入後門程式。

想要加強資訊和網路安全知識的民眾,可到科顧組建置的資安健檢網站下載:http://www.nicst.nat.gov.tw/event2006/(整理:記者袁世忠 )

小檔案:無名小站─國內最大部落格服務網

無名小站創立於1999年,由交大資工所簡志宇、吳緯凱、林弘全、邱建熹與交大資工系潘韋丞、陳軒昀等六人在學校內架設成立,一開始僅是BBS的功能,後來加上了網路相簿,並且開放校外人士使用。

由於免費申請使用,迅速獲得網友們的青睞,使用人數直線上升,特別是因為許多網友在相簿中貼美女圖片,讓人氣更是旺上加旺;由於使用學術網路遭到質疑,加上網站流量太大,讓機器故障當機一週,最後在企業的投資下,2005年3月脫離學術網路,成立無名小站股份有限公司。

無名小站目前是台灣最大的提供部落格服務的網站,會員超過一百八十萬人,除了免費的一般會員,還有繳費的VIP會員,提供更大的空間、背景音樂與頁面沒有廣告的服務,也吸引不少影劇、政治人物前來架設部落格,與網友們互動。

之前傳出雅虎奇摩有意以七億元併購,合併案已經送公平會審議,不過,無名小站很低調,迄今仍否認。

除了創下許多台灣奇蹟,無名小站也發生不少烏龍。例如無預警以格式化的頁面更換使用者的設定,讓許多資深玩家出走;日前創辦人之一的吳緯凱以「測試」名義,讓另一部落格、相簿網站PIXNET流量異常兩小時,遭到網友撻伐等。(整理:記者袁世忠 )

(http://www.dajiyuan.com)

評論