远通电收不久前才宣称遭骇客 DDoS 攻击,而这次真的是完全入侵,今天下午(2014年1月7日)远通电收的 FETC 官网遭骇客破解的消息传出来(其实早在1月6日就被专业网站发现漏洞,之前可能就有资料流出),只用一些简单的手法就将该网站内的所有资料全部看光光,金流网站的安全性也被质疑。全台湾车主的车籍资料是否因此外泄?成为网络圈关注焦点。
根据科技新报采访果核数位资安顾问陈昱崇(Zero)表示,这就是被称为Directory Traversal (Local File Inclusion) 的骇客攻击模式,远通电收的人很明显在验收时没经过渗透测试、原码检测等基础测试手续,导致网站如此轻易被攻击。他也提供简单防止 Directory Traversal 攻击的方法:
限制存取档案的档名或副档名,是否列于许可清单(白名单)中,或所有档案存取均须于一固定目录中 (只读、不可列举、不可被直接读取、不可执行程式),接着检查参数内容、防范路径跳脱 ../ /.. 另Windows平台需查 ..\ \.. 且注意网址结尾是否被加上NULL (%00) 或是 . (%2E) 及 space (%20 or +)
科技新报指出,事实上远通之前推出的远通电收ETC APP (Google Play上面的评分只有2颗星),就曾经因为乘载问题导致网站当机,当时远通回应是在3个小时内遭到82亿次攻击导致网站当机,不过市场上也有人质疑,会不会是因为网站乘载量原本就不大,才会导致网站当机。
科技新报观察,根据计算,Google Play显示安装数量达100万次到500万次,那么,这个APP服务器当机事件应该是全台湾有够多的使用者下载App后的正常存取,每个App和主机要资料其实会有十几次以上到上百次的存取(图片加上文字资料),那么其实82亿次存取是还好而已,也就是说,其实是远通电收负责APP的服务器系统负载不够,才导致当机不能连线。
而这次的远通电收官方网站事件,1月7日下午该公司关站进行修复,下午一度上线,但后来到晚间九点,仍无法连线,远通电收颜面尽失。这个事件爆发出来前,毫无疑问是遭到骇客入侵,而且远通电收方面,可能是看到网络流量变大,才惊觉可能被骇了。这个事件中,连最重要珍贵的用户资料都难保,也再次让人质疑远通电收的营运能力。
图片来源: PASTBIN
网友@penk :“看得到 /etc 目录有什么好奇怪的,就远通电收的缩写不是吗?既然是服务怎么会怕你看呢?”这段评论被评为“本日最中肯”。
延伸阅读:远通电收这下惨了
这篇讨论串里面有很多网友提供专业的意见与看法,主要就是网页服务器如果被骇,远通电收自己的后端数据库也有可能被存取到资料。另外,远通电收存取国道高公局的电子资料部分,如果传输的账号密码或API key也被取得,高公局数据库的电子资料可能也已经被撷取下来。
另外,科技新报观察,如果真的有资料外泄,因为牵涉到使用者个资,讨论版中有不少网友的专业意见中,根据更严格的新版个人资料保护法,民众如果走向集体求偿的路线,这对远通电收来说,无疑是雪上加霜。
引述M01网友ralse的解释:
“发生了底下这件事 Potential leak of data: Directory Transversal 被Leakedin找到远通在Apache设定上的漏洞,使用者可以透过httpd访问到Linux主机上的目录 一般我架站会把httpd服务限制在/var/www/资料夹下让看网页的人没有机会存取到根目录之下的档案 这次因为远通主机设定的漏洞,导致Linux根目录下的资料夹被存取 /etc/passwd纪录了使用者的名称群组跟拥有的权限等…而shadow档则是加密后的密码(你可以称他为密码表) 只要passwd搭shadow,用程式下去跑就可以解出使用者的密码,然后取得root权限后,这台Linux就随便你上下其手了。
如果ETAG用户的资料存在同一台主机上,那就真的什么都去了… 你留在远通的姓名、电话、身份证字号以及车牌号码全部一个不剩的流出去啰”
远通的回应
远通电收发言人周世惠表示,官网系统并未与后端连结,因此不会有个资外泄的问题,如果骇客要取得客户个资得突破后端系统关卡。而远通则再次坚持论调,认为骇客攻击手机APP系统后,再转而攻击官网,显然是蓄意破坏远通系统运作:且骇客大都透过国外服务器进行网络攻击,难以追查。
科技新报分析指出,台湾的资安人才与骇客不但数量多、技术也相当高端,远通电收的营运从一开始就争议不断,也因此自然会成为许多人“练靶”的目标,虽然这次并非是一个需要极高端技术入侵的行为,但也代表远通已经被盯上,往后必然还会受到类似的骇客入侵考验,因此还是应该尽速提升网站与后端的安全性、并随时严阵以待,毕竟远通与全国驾驶人个资有紧密连结,一次意外都不能出。
资料来源:UDN联合新闻网
