2009-01-09

資訊鐵胃消化不良???客戶訂單全都露!!

今天(2009-01-09)吃飽撐著在用某個統一編號去GOOGLE搜資料時
(過程請參閱這份懶人包的最後部份)
突然發現居然可以在GOOGLE上搜到某號稱資訊鐵胃的公司客戶詳細訂單資料.



簡直就是一整個誇張.

而且用該CHCHE頁面上看到的URL http://www.hotels.com.tw/admin/order/order_detail.php
去GOOGLE使用 site:www.hotels.com.tw/admin/order/order_detail.php 查詢


居然有4270筆資料.
雖然查出來的資料都沒辦法直接點入,但是從 "頁庫存檔" 點進去就一覽無疑了.


受害者 ....族繁不及備載
這些資料我是懶得蒐集,可是應該早就已經有人全抓出來了吧...
趕緊用GOOGLE的網站管理員工具去清吧....

號稱鐵胃結果客戶隱私資料原封不動沒消化就屙出來,還被GOOGLE大神蒐集到..
.這.這....太超過了吧~~~~

後記:
2009-01-09 22:00
為避免對無辜的個資外洩受害者造成二度傷害,我把文中受害者的直接連結拿掉了~~如果有受害者發現自己的資料可以被查到(可以試著拿自己的身分證字號/公 司統編之類的去GOOGLE搜尋),請趕緊用GOOGLE的網頁移除要求工具提交 具體作法請參考 重灌狂人的 如何移除Google搜尋結果中「危害隱私」的Cache暫存資料?

2009-01-10 02:00
有網友回報GOOGLE那邊的暫存資料已移除,
經查證確認GOOGLE的相關資料已經移除了
.
這些資料頁面從被發現到證據消滅歷時約11個小時,但是那些頁面不是2009-01-09 15:00我發現時才出現在網路上的,從GOOGLE的CACHE頁面上的時間紀錄可以知道那些頁庫存檔起碼存在GOOGLE有一個月了.這一個月難道就沒別人發現?? 十分令人存疑...
接下來不知道會怎麼發展? 有人說某先生的大絕是發存證信函, 然後是在官網+中央社商情/數位之牆等媒體張貼公告
拭目以待囉~~


2009-01-10 17:30
剛在大砲開講那邊的一則留言看到有人提供消息說大陸的搜尋引擎 有道 還有那些頁面的快照,去試了一下還真有

有點給他懷疑那個有道的資料是不是從GOOGLE那邊挖過去的,因為連出來的數字都一模一樣4270,不過無論如何~~~鐵胃這次真的糟糕了~~中國大陸那邊的搜尋引擎可不像GOOGLE那麼好說話的.

2009-01-10 18:30
另外讓人不解的是,就算admin/order/order_detail.php可以被google spider爬到,可是那些 order_cust_id order_id user_id 參數spider怎麼會知道呢?
個人初步的推測會不會是具有權限的人員在進入後台進行管理時browser有裝Google toolbar而且google account是登入狀態,所以被GOOGLE記錄到瀏覽的網頁記錄,
而且在他的管理頁面裡面有前一筆/後一筆的連結如下
A HREF="order_detail.php?order_cust_id=ooxxx&order_id=xxooo&user_id=ox",這樣只要抓到一頁其他也就手到擒來了吧.加上那段時間後台管理頁面沒做IP權限限制,很可能在當時只有後台登入頁面(已處理 截圖備份) 有IP/權限限制,但是進去以後的其他程式頁面並沒針對登入session/IP做控管,所以那些參數才會被GOOGLE抓到去用spider爬出來..
另外review了一下不管是GOOGLE還是youdao的那些cache資料的url,發現所有的客戶資料頁面url中的user_id參數全都是70,如果沒有猜錯的話這個user_id有可能是內部人員的編號...囧rz..

2009-01-11 15:50
GOOGLE上的客戶訂單詳細資料頁庫存檔是清掉了,不過還有別的資料沒清還留在GOOGLE上..

"經銷商電子報"??
看來處裡的人員還是不清楚事件嚴重性跟資料外洩的程度 =_="",趕緊去把所有的搜尋引擎都去找一遍吧.
舉一反三有這麼難嗎!

2009-01-11 22:50:
特別把最新發現獨立出來一篇,請參閱

鐵胃我真的不想補刀,可是你把病毒放網站放半年太超過了啦~~



2009-01-12 12:20 :
昨天發現的惡意檔案已經移除~

2009-01-12 20:00 :
其實早先還有網友發現還有別的檔案
admin/order/order_over_flow/index.php (現已處裡)
admin/order/order_excontract/ex_contract_close.php (現已處裡)
是屬於可以直接瀏覽(無登入/IP限制)而且不需其他參數的.

所以鐵胃真的要徹查user_id=70到底是誰.
因為包含根本不用此參數就能瀏覽的 admin/order/order_excontract/ex_contract_close.php & admin/order/order_over_flow/index.php ,在CACHE頁面中來源URL也是user_id=70..(請見下圖紅線標示部份)

Google spider 為什麼會知道這個user_id=70參數,就值得好好研究了...

而且其他搜尋引擎除了"有道"之外基本上都沒有cache到這些資料,
"有道"抓到的url資料跟google那邊CACHE一模一樣,這也是挺耐人尋味的一件事..這是山寨嗎?讓我聯想到 "盜亦有道". 難怪取這名..XD

2009-01-14 特別針對相關評論以及媒體報導整理了個 懶人包 .

2009-01-16 有道搜索引擎上的Cache頁面存檔已移除

7 則留言:

Flyworld 提到...

看來今天的新聞又有得爆了

高藥師 提到...

怎麼會這麼扯

WiselySong 提到...

看這些CACHE頁面的日期都集中在去年11月底12月初,我估計是那段時間他們內部管理網站的IP限制沒生效,然後被GOOGLE強大的spider爬進去給挖出來了..

Xavi3r 提到...

真的是很扯..

Momoko 提到...

雖然挺誇張的~
不過大大把受害者資料PO出來~~
不太好吧! 有加害的意味......

WiselySong 提到...

Momoko....你說的對...
為避免對無辜的個資外洩受害者造成二度傷害,我把文中受害者範例的直接連結拿掉了~~如果有受害者發現自己的資料可以被查到,請趕緊用GOOGLE的網頁移除要求工具提交 具體作法請參考 http://briian.com/?p=5832

速速飛 提到...

我笑了…好眼熟的後台哦!
戰xx客戶的windows主機常常糟入侵
因為沒灌防毒
資訊安全呀~真是不重視的公司