PTT推薦

Re: [Vtub] VSPO對個資流出事件的報告

看板C_Chat標題Re: [Vtub] VSPO對個資流出事件的報告作者
seer2525
(月月)
時間推噓28 推:28 噓:0 →:68

看上一篇推文感覺很多人被krkr那篇誤導了 我自己看了一遍也發現我也搞錯了

krkr的推文跟官方公告有些出入

krkr的推文是說只要用google帳號進入應徵頁面後 你就會得到編輯表單資料的權限

BG的公告表示表單的資料設定是「只公開給知道連結的人」
表單的設定並沒有被改成全公開 所以一般人是進不去表單資料 也看不到表單資料的
而公開的應徵網址和編輯用的網址是不同的 進到應徵頁面也不會得到編輯權限

以google表單的邏輯來說krkr講得不太合理 有用過google表單的應該知道
表單跟後台編輯的網址是不同的
而且google表單沒有「填表單就能獲與權限」這種設定 這點官方公告比較合理

我剛剛自己也拿以前做的表單試了一遍 的確「給人填寫」跟「編輯+後台資料」兩個是
不同的網址 設定也沒有什麼用google帳號登入就能讀取的設定
編輯存取權也只有白名單和連結這兩個選項

而以官方那邊檢查得出的結果 沒有查到有給予外部帳號權限的紀錄

所以得出最有可能的兩個結果是

1.不正當的存取 有可能像是爬蟲之類的方法爬到這個網址

2.某種原因這個連結被傳到了外部第三者

而不只VSPO的表單有流出 BG的其他子公司項目也有查出流出問題
所以...除非有人爬蟲這麼厲害一次就爬到了BG底下這麼多個項目表單的連結...
不然也只有BG內部流出這個可能了

VSPO內部人員流出的話 除非這個人是營運1(社長)等級
不然不可能連BG其他子公司項目的連結也能夠取得



另外這些蒐集了上萬人的個資表單權限設定居然是用只要知道連結就能讀取的IT恐怖故事

我自己猜想VSPO原本表單設定應該就是白名單沒有錯 畢竟原本VSPO事務所裡面人就很少只是設定個白名單不會麻煩到哪裡去 在這之前也沒有出過這種問題

但後來被BG收購後 人員擴增 還需要向BG共享資料 有太多社員需要存取

所以就將設定改成了連結...就這樣到了現在出了大包

我只能說 營運1你努力了這麼多年 做了最大 也是唯一一個錯誤的決定 就是讓BG收購...

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.241.179 (臺灣)
PTT 網址
※ 編輯: seer2525 (1.165.241.179 臺灣), 06/26/2024 00:23:24

fish733306/26 00:21熟悉的BG最對味

Y199906/26 00:22有BG味了

LoKingSer06/26 00:23第3大箱要炸掉了嗎?

amd735606/26 00:25就有些人在吹KR趁機對VSPO落井下石 結果出爐是BG的鍋

畢竟krkr那邊只知道VSPO的表單外洩了 但一查結果是BG全都外洩了 BG整個都外洩那也很難是VSPO營運的問題了 除非VSPO裡面有個知道BG社長把柄的人 他才能夠拿到BG其他事業項目的所有存取權吧

tsubasa092206/26 00:27就微妙,但能變成這樣也是因為收購了有資金能這樣玩

memep706/26 00:27看到現在 真的傻眼到不知道該說什麼

Armour1306/26 00:27不過這麼長時間都沒有流出,說不定沒人備分?

如果我是那個外洩或收到流出的人 我也不敢流出 只有知道表單連結的人才有這些資料 要查是查得到的

※ 編輯: seer2525 (1.165.241.179 臺灣), 06/26/2024 00:29:24

Y199906/26 00:28KR:我以為VSPO外洩已經夠扯,沒想到還有更扯的

tsubasa092206/26 00:283D各種活動什麼的,vspo固然大但資金轉不過來也很難

tsubasa092206/26 00:28幹大事

amd735606/26 00:30內鬼的可能性比較大 就上面有人提到這麼長時間早就流出點

amd735606/26 00:30東西了 整件事情到現在還是不清楚是怎樣

dinosd206/26 00:30BG搞不好還要感謝kr出來爆料才知道外洩事件這麼大一條

mk418862306/26 00:30果然是你阿BG

j02201506/26 00:30這一波如果處理不好 很難爬起來了

amd735606/26 00:30網路這麼多樂子人 看到有V個資流出還不第一時間給你爆料

tom1172506/26 00:36好不容易能挖一波V圈大料這還不大炒一番

alan310006/26 00:36公告只說設定錯誤的表單不只一個 不代表其他表單有被外

alan310006/26 00:36流,但肯定是公司內部菜鳥到不知道該設定權限

alan310006/26 00:37另外自己試是看不到檔案是否被他人訪問過,不確定企業

alan310006/26 00:37版又沒有功能可以看

BG的公告沒有說設定錯誤 他們本來就是設定知道連結的人可以存取 設定錯誤這個是krkr的說法 這個說法不合理 因為沒有設定是填寫表單就能存取資料的

alan310006/26 00:38如果google沒提供這功能那資料有沒有被外人偷都不知道

PROMAC06/26 00:44搞不好類似這樣外洩的 http://i.imgur.com/RRmDkwe.jpg

圖 VSPO對個資流出事件的報告

alan310006/26 00:45“知道連結就可以存取”就是設定錯誤

dragon80306/26 00:46推澄清

alan310006/26 00:47白名單是除了要知道連結還要帳號驗證才能存取,這是網

alan310006/26 00:47路資安基本常識

https://i.imgur.com/hqk1uoX.png

圖 VSPO對個資流出事件的報告

我翻了遍BG的公告還是沒有找到他們有說設定錯誤 只有說他們改為知道連結也存取不了 他們寫的原因也沒有說到權限設定問題 沒意外他們原本就是這樣設定的 不管怎麼說 還是避不了有人外流這個網址這件事

alan310006/26 00:50放在Google doc預設是白名單才能存取,一定是公司內部人

alan310006/26 00:50手賤改成公開

alan310006/26 00:50不然哪有那麼多名單都不小心設定錯誤

keyofdejavu06/26 00:51你真別說,搞不好這名單一開始就是公開的

keyofdejavu06/26 00:51不是什麼手賤改的

johnny306/26 00:53搞不好一直都是知道連結就能連 只是都在公司內部用

yuniko98k06/26 00:54但這樣從以前都沒被爆過是真的很神奇

seer252506/26 00:55我自己是猜測被BG收購前還是用白名單啦 人那麼少沒必要

seer252506/26 00:55嫌麻煩

qoos062006/26 00:55說白了 不管是改權限還是外流網址 內部人員的可能性太大

yuniko98k06/26 00:56也有個可能是本來就這樣 但內部員工看不下去 反應給公

yuniko98k06/26 00:56司也不改 所以就找krkr爆料

Landius06/26 00:58今年第二起恐怖IT故事了嗎...

alan310006/26 01:05剛剛連建立表單都試了一次 確定預設是白名單不是全公開

alan310006/26 01:06就這公司連基本資安不知道 還公告說權限設定沒問題XD

公告也沒有說權限設定沒問題啊...只有說是設定成連結 還有說應徵頁面並不會取得連結 或是存取權這樣而已 不過這次之後大概也不敢這樣設定了 雖然如果真的是內鬼也防不了就是了

generic06/26 01:10發現問題的應該就應徵者之一吧 把聯結給人就可以存取

應徵者拿不到資料的連結啊 應徵頁面跟編輯頁面是不同的 文內有說

alan310006/26 01:10白名單訪問也是透過連結呀 只是你要登入且要是白名單內

alan310006/26 01:11會這樣回就是不懂雲端本質

呃...這我知道 不太清楚你是想要說什麼

qoos062006/26 01:11應徵者要發現問題 那只能是表單本來就是全公開 但官方公

qoos062006/26 01:12告是沒有把權限用全公開過

alan310006/26 01:12你可以自己驗證白名單 另開無痕用相同連結就知道差異了

qoos062006/26 01:17企業版的設定 應該跟一般帳號有些不同 企業版的表單說不

qoos062006/26 01:17定是可以把表單設定知道連結才能看 就跟官方公告說得一

qoos062006/26 01:17

kids2306/26 01:18推查證

alan310006/26 01:18googledoc上傳後就有一個連結 不是你透過設定成連結

搞不清楚你在說什麼的只有我嗎= =?

https://i.imgur.com/JBuIfsG.png

圖 VSPO對個資流出事件的報告

我剛剛試了一遍 限制就是白名單 加進去後有「編輯頁面」的網址就可以看到krkr推文 那個編輯頁面 不是的話就算你知道這個連結 進去也只會跳到「填寫」表單的頁面 而設定成第二個就是你有這個「編輯頁面」的連結就可以進到編輯頁面 試完了我還是不知道你想表達什麼 另外只是進到官網給的「應徵頁面」填寫應徵是不會得到進入「編輯頁面」的權限的 上面有人又誤會了 這邊再講一次 沒有這種設定

alan310006/26 01:20只是UI讓你複製該檔案原本就有連結

alan310006/26 01:22不信你自己打開檔案 看url跟你按下共用複製出來是同一個

我剛剛試過了 你共用那邊複製的連結只會是「填寫表單」的URL 要進到「編輯頁面」是要複製網址列的URL

MoonSkyFish06/26 01:26是vspo還是bg的鍋有差嗎?還能把自己摘出去的啊?

就是母公司搞事還是子公司自己闖禍的差別啊XD

alan310006/26 01:28沒人管krkr講啥拉 就權限設定隨便,改用下面那個就炸鍋了

ssize06/26 01:28看養資訊人員到什麼程度阿 一般沒在養資訊的表單還不是丟給

ssize06/26 01:28人資自己做 哪有什麼正確的資安概念 都馬方便行事

chatoff06/26 01:28有沒有可能 BG的人員當初就是自己設定公開..應徵的人多

chatoff06/26 01:29審核的人也多 就懶得設定白名單 天真的覺得連結都內部用

chatoff06/26 01:29不會流出去就沒事..

畢竟這種表單通常是人資那邊在管理的吧 沒有資安意識好像也挺正常的

※ 編輯: seer2525 (1.165.241.179 臺灣), 06/26/2024 01:30:22

chatoff06/26 01:30就像上面說的 人資自己弄表單 非資訊人員根本沒想這麼多

alan310006/26 01:30不管是問卷還是連結到試算表 預設都是白名單,偷改就出事

chatoff06/26 01:31說不定根本不是偷改 就嫌麻煩當初就直接設公開

alan310006/26 01:32是覺得公司不算小了 一個員工就能出包沒人發現有點嚴重

ssize06/26 01:33不然資訊人員出這麼基礎的包資訊主管還不電到飛起來

chatoff06/26 01:34擴展太快 內部監管制度跟不上吧

digitai106/26 01:34同chat 就圖個傳檔 工作方便打開 覺得不會怎樣

digitai106/26 01:34然後 萬萬沒想到 如此而已

chatoff06/26 01:34說不定就單純人資部門自己瞎搞 根本也沒資訊部門什麼事

asasas072306/26 01:35我一直以來都覺得被BG收購是件壞事

joe12813506/26 01:36這種傻眼到可笑的感覺 是我熟悉的BG

seer252506/26 01:41現在最大的問題應該是連結怎麼洩漏出去的 最有可能的就

seer252506/26 01:41是內鬼

qoos062006/26 01:45官方公告沒問題的話 爆料給krkr的人也是很鬼 能拿到內部

qoos062006/26 01:45連結

dos0106/26 01:56這家很有可能根本沒資訊部門 雖然好像錢很多可以買一堆人

alan310006/26 01:56我查google drive api好像有搜尋功能..所以也許爬蟲容易

dos0106/26 01:56可是內部一團亂

e363357706/26 01:59從和BG合併的那天就在想會不會又出大包的一天,畢竟

h010366106/26 02:14kr原文沒寫錯啊

pal123106/26 05:53基本資安問題也搞不定 VSPO要成為齁虹一樣的大公司還有

pal123106/26 05:53很長的路要走

abc1445506/26 05:58這樣看營運1真的很抗,出問題都不是他

abc1445506/26 05:58但解決問題他一個人頂

abc1445506/26 05:59他真的是少數底下的員工願意相信的高層

seer252506/26 08:59https://i.imgur.com/ZvgvMwI.jpeg kr第一句就有問題了

圖 VSPO對個資流出事件的報告

seer252506/26 08:59啊 哪裡沒錯

gn0085166706/26 09:50看看您寫的第3和第4句 有沒有種可能...

gn0085166706/26 09:50他說的就是知道連結之後...而不是指公開的招募

seer252506/26 09:54呃...他的原文就是「用google帳號進入應徵表單」這樣而

seer252506/26 09:54

seer252506/26 09:55並沒有說是編輯頁面 他就是說應徵表單

seer252506/26 09:55推特上也有不少人質疑這點有問題 明顯就是krkr的說法有

seer252506/26 09:55問題