遠通電收不久前才宣稱遭駭客 DDoS 攻擊,而這次真的是完全入侵,今天下午(2014年1月7日)遠通電收的 FETC 官網遭駭客破解的消息傳出來(其實早在1月6日就被專業網站發現漏洞,之前可能就有資料流出),只用一些簡單的手法就將該網站內的所有資料全部看光光,金流網站的安全性也被質疑。全台灣車主的車籍資料是否因此外洩?成為網路圈關注焦點。
根據科技新報採訪果核數位資安顧問陳昱崇(Zero)表示,這就是被稱為 Directory Traversal (Local File Inclusion) 的駭客攻擊模式,遠通電收的人很明顯在驗收時沒經過滲透測試、原碼檢測等基礎測試手續,導致網站如此輕易被攻擊。他也提供簡單防止 Directory Traversal 攻擊的方法:
限制存取檔案的檔名或副檔名,是否列於許可清單(白名單)中,或所有檔案存取均須於一固定目錄中 (唯讀、不可列舉、不可被直接讀取、不可執行程式),接著檢查參數內容、防範路徑跳脫 ../ /.. 另Windows平台需查 .. .. 且注意網址結尾是否被加上NULL (%00) 或是 . (%2E) 及 space (%20 or +)
科技新報指出,事實上遠通之前推出的遠通電收ETC APP (Google Play上面的評分只有2顆星),就曾經因為乘載問題導致網站當機,當時遠通回應是在 3 個小時內遭到 82 億次攻擊導致網站當機,不過市場上也有人質疑,會不會是因為網站乘載量原本就不大,才會導致網站當機。
科技新報觀察,根據計算,Google Play 顯示安裝數量達100 萬次到 500 萬次,那麼,這個 APP 伺服器當機事件應該是全台灣有夠多的使用者下載 App 後的正常存取,每個 App 和主機要資料其實會有十幾次以上到上百次的存取(圖片加上文字資料),那麼其實 82 億次存取是還好而已,也就是說,其實是遠通電收負責 APP 的伺服器系統負載不夠,才導致當機不能連線。
而這次的遠通電收官方網站事件,1月7日下午該公司關站進行修復,下午一度上線,但後來到晚間九點,仍無法連線,遠通電收顏面盡失。這個事件爆發出來前,毫無疑問是遭到駭客入侵,而且遠通電收方面,可能是看到網路流量變大,才驚覺可能被駭了。這個事件中,連最重要珍貴的用戶資料都難保,也再次讓人質疑遠通電收的營運能力。
圖片來源: PASTBIN
網友@penk :「看得到 /etc 目錄有什麼好奇怪的,就遠通電收的縮寫不是嗎?既然是服務怎麼會怕你看呢?」這段評論被評為「本日最中肯」。
延伸閱讀:遠通電收這下慘了
這篇討論串裡面有很多網友提供專業的意見與看法,主要就是網頁伺服器如果被駭,遠通電收自己的後端資料庫也有可能被存取到資料。另外,遠通電收存取國道高公局的電子資料部份,如果傳輸的帳號密碼或API key也被取得,高公局資料庫的電子資料可能也已經被擷取下來。
另外,科技新報觀察,如果真的有資料外洩,因為牽涉到使用者個資,討論版中有不少網友的專業意見中,根據更嚴格的新版個人資料保護法,民眾如果走向集體求償的路線,這對遠通電收來說,無疑是雪上加霜。
引述M01網友ralse的解釋:
「發生了底下這件事
Potential leak of data: Directory Transversal
被Leakedin找到遠通在Apache設定上的漏洞,使用者可以透過httpd訪問到Linux主機上的目錄
一般我架站會把httpd服務限制在/var/www/資料夾下讓看網頁的人沒有機會存取到根目錄之下的檔案
這次因為遠通主機設定的漏洞,導致Linux根目錄下的資料夾被存取
/etc/passwd紀錄了使用者的名稱群組跟擁有的權限等…而shadow檔則是加密後的密碼(你可以稱他為密碼表)
只要passwd搭shadow,用程式下去跑就可以解出使用者的密碼,然後取得root權限後,這台Linux就隨便你上下其手了。如果ETAG用戶的資料存在同一台主機上,那就真的什麼都去了…
你留在遠通的姓名、電話、身份證字號以及車牌號碼全部一個不剩的流出去囉」
遠通的回應
遠通電收發言人周世惠表示,官網系統並未與後端連結,因此不會有個資外洩的問題,如果駭客要取得客戶個資得突破後端系統關卡。而遠通則再次堅持論調,認為駭客攻擊手機APP系統後,再轉而攻擊官網,顯然是蓄意破壞遠通系統運作:且駭客大都透過國外伺服器進行網路攻擊,難以追查。
科技新報分析指出,台灣的資安人才與駭客不但數量多、技術也相當高端,遠通電收的營運從一開始就爭議不斷,也因此自然會成為許多人「練靶」的目標,雖然這次並非是一個需要極高端技術入侵的行為,但也代表遠通已經被盯上,往後必然還會受到類似的駭客入侵考驗,因此還是應該盡速提升網站與後端的安全性、並隨時嚴陣以待,畢竟遠通與全國駕駛人個資有緊密連結,一次意外都不能出。
【本文章由科技新報授權提供,更多精彩內容請詳科技新報官網】
