Re: [Vtub] VSPO對個資流出事件的報告
看上一篇推文感覺很多人被krkr那篇誤導了 我自己看了一遍也發現我也搞錯了
krkr的推文跟官方公告有些出入
krkr的推文是說只要用google帳號進入應徵頁面後 你就會得到編輯表單資料的權限
BG的公告表示表單的資料設定是「只公開給知道連結的人」
表單的設定並沒有被改成全公開 所以一般人是進不去表單資料 也看不到表單資料的
而公開的應徵網址和編輯用的網址是不同的 進到應徵頁面也不會得到編輯權限
以google表單的邏輯來說krkr講得不太合理 有用過google表單的應該知道
表單跟後台編輯的網址是不同的
而且google表單沒有「填表單就能獲與權限」這種設定 這點官方公告比較合理
我剛剛自己也拿以前做的表單試了一遍 的確「給人填寫」跟「編輯+後台資料」兩個是
不同的網址 設定也沒有什麼用google帳號登入就能讀取的設定
編輯存取權也只有白名單和連結這兩個選項
而以官方那邊檢查得出的結果 沒有查到有給予外部帳號權限的紀錄
所以得出最有可能的兩個結果是
1.不正當的存取 有可能像是爬蟲之類的方法爬到這個網址
2.某種原因這個連結被傳到了外部第三者
而不只VSPO的表單有流出 BG的其他子公司項目也有查出流出問題
所以...除非有人爬蟲這麼厲害一次就爬到了BG底下這麼多個項目表單的連結...
不然也只有BG內部流出這個可能了
VSPO內部人員流出的話 除非這個人是營運1(社長)等級
不然不可能連BG其他子公司項目的連結也能夠取得
另外這些蒐集了上萬人的個資表單權限設定居然是用只要知道連結就能讀取的IT恐怖故事
我自己猜想VSPO原本表單設定應該就是白名單沒有錯 畢竟原本VSPO事務所裡面人就很少只是設定個白名單不會麻煩到哪裡去 在這之前也沒有出過這種問題
但後來被BG收購後 人員擴增 還需要向BG共享資料 有太多社員需要存取
所以就將設定改成了連結...就這樣到了現在出了大包
我只能說 營運1你努力了這麼多年 做了最大 也是唯一一個錯誤的決定 就是讓BG收購...
--
熟悉的BG最對味
有BG味了
第3大箱要炸掉了嗎?
就有些人在吹KR趁機對VSPO落井下石 結果出爐是BG的鍋
畢竟krkr那邊只知道VSPO的表單外洩了 但一查結果是BG全都外洩了 BG整個都外洩那也很難是VSPO營運的問題了 除非VSPO裡面有個知道BG社長把柄的人 他才能夠拿到BG其他事業項目的所有存取權吧
就微妙,但能變成這樣也是因為收購了有資金能這樣玩
看到現在 真的傻眼到不知道該說什麼
不過這麼長時間都沒有流出,說不定沒人備分?
如果我是那個外洩或收到流出的人 我也不敢流出 只有知道表單連結的人才有這些資料 要查是查得到的
※ 編輯: seer2525 (1.165.241.179 臺灣), 06/26/2024 00:29:24KR:我以為VSPO外洩已經夠扯,沒想到還有更扯的
3D各種活動什麼的,vspo固然大但資金轉不過來也很難
幹大事
內鬼的可能性比較大 就上面有人提到這麼長時間早就流出點
東西了 整件事情到現在還是不清楚是怎樣
BG搞不好還要感謝kr出來爆料才知道外洩事件這麼大一條
果然是你阿BG
這一波如果處理不好 很難爬起來了
網路這麼多樂子人 看到有V個資流出還不第一時間給你爆料
好不容易能挖一波V圈大料這還不大炒一番
公告只說設定錯誤的表單不只一個 不代表其他表單有被外
流,但肯定是公司內部菜鳥到不知道該設定權限
另外自己試是看不到檔案是否被他人訪問過,不確定企業
版又沒有功能可以看
BG的公告沒有說設定錯誤 他們本來就是設定知道連結的人可以存取 設定錯誤這個是krkr的說法 這個說法不合理 因為沒有設定是填寫表單就能存取資料的
如果google沒提供這功能那資料有沒有被外人偷都不知道
搞不好類似這樣外洩的 http://i.imgur.com/RRmDkwe.jpg
“知道連結就可以存取”就是設定錯誤
推澄清
白名單是除了要知道連結還要帳號驗證才能存取,這是網
路資安基本常識
我翻了遍BG的公告還是沒有找到他們有說設定錯誤 只有說他們改為知道連結也存取不了 他們寫的原因也沒有說到權限設定問題 沒意外他們原本就是這樣設定的 不管怎麼說 還是避不了有人外流這個網址這件事
放在Google doc預設是白名單才能存取,一定是公司內部人
手賤改成公開
不然哪有那麼多名單都不小心設定錯誤
你真別說,搞不好這名單一開始就是公開的
不是什麼手賤改的
搞不好一直都是知道連結就能連 只是都在公司內部用
但這樣從以前都沒被爆過是真的很神奇
我自己是猜測被BG收購前還是用白名單啦 人那麼少沒必要
嫌麻煩
說白了 不管是改權限還是外流網址 內部人員的可能性太大
也有個可能是本來就這樣 但內部員工看不下去 反應給公
司也不改 所以就找krkr爆料
今年第二起恐怖IT故事了嗎...
剛剛連建立表單都試了一次 確定預設是白名單不是全公開
就這公司連基本資安不知道 還公告說權限設定沒問題XD
公告也沒有說權限設定沒問題啊...只有說是設定成連結 還有說應徵頁面並不會取得連結 或是存取權這樣而已 不過這次之後大概也不敢這樣設定了 雖然如果真的是內鬼也防不了就是了
發現問題的應該就應徵者之一吧 把聯結給人就可以存取
應徵者拿不到資料的連結啊 應徵頁面跟編輯頁面是不同的 文內有說
白名單訪問也是透過連結呀 只是你要登入且要是白名單內
會這樣回就是不懂雲端本質
呃...這我知道 不太清楚你是想要說什麼
應徵者要發現問題 那只能是表單本來就是全公開 但官方公
告是沒有把權限用全公開過
你可以自己驗證白名單 另開無痕用相同連結就知道差異了
企業版的設定 應該跟一般帳號有些不同 企業版的表單說不
定是可以把表單設定知道連結才能看 就跟官方公告說得一
樣
推查證
googledoc上傳後就有一個連結 不是你透過設定成連結
搞不清楚你在說什麼的只有我嗎= =?
https://i.imgur.com/JBuIfsG.png
我剛剛試了一遍 限制就是白名單 加進去後有「編輯頁面」的網址就可以看到krkr推文 那個編輯頁面 不是的話就算你知道這個連結 進去也只會跳到「填寫」表單的頁面 而設定成第二個就是你有這個「編輯頁面」的連結就可以進到編輯頁面 試完了我還是不知道你想表達什麼 另外只是進到官網給的「應徵頁面」填寫應徵是不會得到進入「編輯頁面」的權限的 上面有人又誤會了 這邊再講一次 沒有這種設定
只是UI讓你複製該檔案原本就有連結
不信你自己打開檔案 看url跟你按下共用複製出來是同一個
我剛剛試過了 你共用那邊複製的連結只會是「填寫表單」的URL 要進到「編輯頁面」是要複製網址列的URL
是vspo還是bg的鍋有差嗎?還能把自己摘出去的啊?
就是母公司搞事還是子公司自己闖禍的差別啊XD
沒人管krkr講啥拉 就權限設定隨便,改用下面那個就炸鍋了
看養資訊人員到什麼程度阿 一般沒在養資訊的表單還不是丟給
人資自己做 哪有什麼正確的資安概念 都馬方便行事
有沒有可能 BG的人員當初就是自己設定公開..應徵的人多
審核的人也多 就懶得設定白名單 天真的覺得連結都內部用
不會流出去就沒事..
畢竟這種表單通常是人資那邊在管理的吧 沒有資安意識好像也挺正常的
※ 編輯: seer2525 (1.165.241.179 臺灣), 06/26/2024 01:30:22就像上面說的 人資自己弄表單 非資訊人員根本沒想這麼多
不管是問卷還是連結到試算表 預設都是白名單,偷改就出事
說不定根本不是偷改 就嫌麻煩當初就直接設公開
是覺得公司不算小了 一個員工就能出包沒人發現有點嚴重
不然資訊人員出這麼基礎的包資訊主管還不電到飛起來
擴展太快 內部監管制度跟不上吧
同chat 就圖個傳檔 工作方便打開 覺得不會怎樣
然後 萬萬沒想到 如此而已
說不定就單純人資部門自己瞎搞 根本也沒資訊部門什麼事
我一直以來都覺得被BG收購是件壞事
這種傻眼到可笑的感覺 是我熟悉的BG
現在最大的問題應該是連結怎麼洩漏出去的 最有可能的就
是內鬼
官方公告沒問題的話 爆料給krkr的人也是很鬼 能拿到內部
連結
這家很有可能根本沒資訊部門 雖然好像錢很多可以買一堆人
我查google drive api好像有搜尋功能..所以也許爬蟲容易
可是內部一團亂
從和BG合併的那天就在想會不會又出大包的一天,畢竟
kr原文沒寫錯啊
基本資安問題也搞不定 VSPO要成為齁虹一樣的大公司還有
很長的路要走
這樣看營運1真的很抗,出問題都不是他
但解決問題他一個人頂
他真的是少數底下的員工願意相信的高層
https://i.imgur.com/ZvgvMwI.jpeg kr第一句就有問題了
啊 哪裡沒錯
看看您寫的第3和第4句 有沒有種可能...
他說的就是知道連結之後...而不是指公開的招募
呃...他的原文就是「用google帳號進入應徵表單」這樣而
已
並沒有說是編輯頁面 他就是說應徵表單
推特上也有不少人質疑這點有問題 明顯就是krkr的說法有
問題
爆
[閒聊]一生一世超點互助(讀注意事項#5!!)鑒於之前周生如故和一生一世的超點,皆超過三、四百人要集讚解鎖, 這次換個方式,把修推權交給各位。 請詳讀以下推文規則和注意事項,再推文,感謝!!! 1. 這次以google表單形式,讓大家去表單貼連結, 請讀完注意事項再去表單貼您的集讚連結。25
[閒聊] Gura壽司郎周邊庫存整理表單前幾天做的庫存查詢、回報表單,方便版友們參考 目前看起來立牌應該差不多都沒了(某些家分店真的沒人回報,不知道狀況w) 查詢庫存: 回報庫存: 表單的資料是各地的蝦蝦幫忙回報,或者是由臉書社團、版上的推文收集來的22
[討論] 赤心巡天設定整理昨晚看大家推文,發現自己很多人物跟設定都要不斷重新確認 因此想說來用google表單整理一下相關資料 但發現一個人整理這個也太累 貼出來如果大家有空可以幫忙查缺補漏17
[閒聊] 我的影集觀看紀錄,給劇荒的人參考我看到有人劇荒求推薦,剛好我最近正在整理觀看紀錄2.0,就順便分享在這裡。之前我 把觀看紀錄寫在粉專網誌裡面,但內容越積越多之後(尤其是我現在開始看Amazon的劇) ,就發現這樣在篩選作品的時候很不方便。所以我決定把那篇砍掉,重新用Google試算表 來做,主要是看上它的篩選和排序功能。如果想要參考的人可以點底下連結,但是請先看 完我這篇的說明。4
[心得] 輕鬆用Google表單透明化募款流程覺得不論是領養要填寫的契約,或是匯款最讓人詬病也讓人擔心好心做壞事的癥結就在於「 不透明」, 因此在這裡提供大家一個3步驟就能讓匯款透明化,保障自己也保證捐助者方式 的辦法「google 表單」 最終表單-募款用2
Fw: [台南/一般]富貴南山法會、追思會工讀招募作者: astray2009 (默) 看板: part-time 標題: [台南/一般]富貴南山法會、追思會工讀招募 時間: Wed Feb 15 11:29:20 2023 本人同意並願意遵守現行法律、本站使用者條款、本站各級規定、本板所有規範, 本人願意為本文內容負責,並保証本文內容皆詳盡屬實,若違反相關規範,願受處分。1
[問題/貓物]2020貓砂統整表哈囉大家~我是張秒咪的姊姊,張小牛的媽, 前陣子因為要增加貓口,且被建議小貓盡量不要使用礦砂, 所以開始爬文有關貓砂的資訊,但發現大家對於貓砂沒有一個比較統整的比較, 以及分享都比較零散,爬文更多需要從大家的推文裡尋找, 我想到一個方法,也就是開放一個雲端excel表格,- 請問各位前輩 若有1~9偏好強度的AHP GOOGLE表單 應該要如何做? 如下面youtube AHP問卷影片這樣呈現
1
[教學] 振興五倍券數位標章表單自動填寫捷徑製作「振興五倍券數位標章表單自動填寫捷徑」 首先說明的是:這是一個無聊的練習,分享給各位可以應用在其他地方。 振興五倍券數位標章官網: 這網站的 javascript 控制有問題,只要你送出任何錯誤資訊,得重新載入網頁才可以繼 續操作。- 各位在用Google表單製作線上測驗時有沒有碰過題目類型整個被改掉的狀況呢? 狀況是這樣的, 該測驗分成選擇和簡答兩個區段, 選擇題有4個選項、設有標準答案和配分, 簡答題沒有設答案和分數,
爆
[閒聊] 活俠傳 更新內容預告59
[討論] PS5 pro的商法到底誰想的……57
[雀魂] 透! 透! 透!54
[Vtub] 拉電介紹台南美術館&美食87
[閒聊] 米哈遊卡池大改動?36
[劍星] 欸不是 金變態 可以這樣的嗎31
[閒聊] 與變成了異世界美少女的大叔一起冒險(29
[蔚藍] 哇幹 蕾絲內衣莉央26
[BGD] 為什麼買狗CP是愛爽配==33
[閒聊] 覺得P5R比暗喻幻想好玩 正常嗎(雷)23
[閒聊] 矢吹:能看到出包再刊載於JUMP真是高興啊22
[閒聊] 美國富翁:想要我的財寶嗎?那就去尋找吧19
[閒聊] 12點了 誠實說有對Biboo起色心嗎?17
[閒聊] 井上雄彥會怎麼畫這屆棒球12強?20
[閒聊] 寶石之國第一季YT免費看16
[閒聊] 索尼會怎麼防止黃牛?14
Re: [討論] 日本是不是熱衷棒球大於籃球?15
[Vtub] 佃煮のりお的13周年新衣裝20
[閒聊] 偶大劇場版開大招了14
[MyGO] 和愛音一起散步14
[閒聊] 秋葉原車站 阿夸生日快樂廣告21
[閒聊] KOFXV 泰瑞的帽子 ¥4,73014
[閒聊] 為什麼RO可以出這麼多版?13
[閒聊] 福山潤 生日倒數生放送34
[PTCGP] 對戰打完會給謝謝的是不是越來越少了58
[閒聊] 在廁所抽菸的都什麼人?12
[閒聊] 贊同日麻遊戲對局中即時顯示手切/摸切嗎24
[閒聊] 教育傲慢義弟的義姊12
[mygo] 祥子會被賣掉、枕營業嗎?26
[闇龍] 不如FF7RB,紗障守護者銷量未達預期