遠通電收不久前才宣稱遭駭客 DDoS 攻擊,而這次真的是完全入侵,今天下午(2014年1月7日)遠通電收的 FETC 官網遭駭客破解的消息傳出來(其實早在1月6日就被專業網站發現漏洞,之前可能就有資料流出),只用一些簡單的手法就將該網站內的所有資料全部看光光,金流網站的安全性也被質疑。全台灣車主的車籍資料是否因此外洩?成為網路圈關注焦點。
▲圖片來源
根據科技新報採訪果核數位資安顧問陳昱崇(Zero)表示,這就是被稱為Directory Traversal (Local File Inclusion) 的駭客攻擊模式,遠通電收的人很明顯在驗收時沒經過滲透測試、原碼檢測等基礎測試手續,導致網站如此輕易被攻擊。他也提供簡單防止 Directory Traversal 攻擊的方法:
限制存取檔案的檔名或副檔名,是否列於許可清單(白名單)中,或所有檔案存取均須於一固定目錄中 (唯讀、不可列舉、不可被直接讀取、不可執行程式),接著檢查參數內容、防範路徑跳脫 ../ /.. 另Windows平台需查 ..\ \.. 且注意網址結尾是否被加上NULL (%00) 或是 . (%2E) 及 space (%20 or +)
科技新報指出,事實上遠通之前推出的遠通電收ETC APP (Google Play上面的評分只有2顆星),就曾經因為乘載問題導致網站當機,當時遠通回應是在3個小時內遭到82億次攻擊導致網站當機,不過市場上也有人質疑,會不會是因為網站乘載量原本就不大,才會導致網站當機。
科技新報觀察,根據計算,Google Play顯示安裝數量達100萬次到500萬次,那麼,這個APP伺服器當機事件應該是全台灣有夠多的使用者下載App後的正常存取,每個App和主機要資料其實會有十幾次以上到上百次的存取(圖片加上文字資料),那麼其實82億次存取是還好而已,也就是說,其實是遠通電收負責APP的伺服器系統負載不夠,才導致當機不能連線。
而這次的遠通電收官方網站事件,1月7日下午該公司關站進行修復,下午一度上線,但後來到晚間九點,仍無法連線,遠通電收顏面盡失。這個事件爆發出來前,毫無疑問是遭到駭客入侵,而且遠通電收方面,可能是看到網路流量變大,才驚覺可能被駭了。這個事件中,連最重要珍貴的用戶資料都難保,也再次讓人質疑遠通電收的營運能力。
▲圖片來源
圖片來源: PASTBIN
網友@penk :「看得到 /etc 目錄有什麼好奇怪的,就遠通電收的縮寫不是嗎?既然是服務怎麼會怕你看呢?」這段評論被評為「本日最中肯」。
延伸閱讀:遠通電收這下慘了
這篇討論串裡面有很多網友提供專業的意見與看法,主要就是網頁伺服器如果被駭,遠通電收自己的後端資料庫也有可能被存取到資料。另外,遠通電收存取國道高公局的電子資料部份,如果傳輸的帳號密碼或API key也被取得,高公局資料庫的電子資料可能也已經被擷取下來。
另外,科技新報觀察,如果真的有資料外洩,因為牽涉到使用者個資,討論版中有不少網友的專業意見中,根據更嚴格的新版個人資料保護法,民眾如果走向集體求償的路線,這對遠通電收來說,無疑是雪上加霜。
引述M01網友ralse的解釋:
「發生了底下這件事
Potential leak of data: Directory Transversal
被Leakedin找到遠通在Apache設定上的漏洞,使用者可以透過httpd訪問到Linux主機上的目錄
一般我架站會把httpd服務限制在/var/www/資料夾下讓看網頁的人沒有機會存取到根目錄之下的檔案
這次因為遠通主機設定的漏洞,導致Linux根目錄下的資料夾被存取
/etc/passwd紀錄了使用者的名稱群組跟擁有的權限等…而shadow檔則是加密後的密碼(你可以稱他為密碼表)
只要passwd搭shadow,用程式下去跑就可以解出使用者的密碼,然後取得root權限後,這台Linux就隨便你上下其手了。如果ETAG用戶的資料存在同一台主機上,那就真的什麼都去了…
你留在遠通的姓名、電話、身份證字號以及車牌號碼全部一個不剩的流出去囉」
遠通的回應
遠通電收發言人周世惠表示,官網系統並未與後端連結,因此不會有個資外洩的問題,如果駭客要取得客戶個資得突破後端系統關卡。而遠通則再次堅持論調,認為駭客攻擊手機APP系統後,再轉而攻擊官網,顯然是蓄意破壞遠通系統運作:且駭客大都透過國外伺服器進行網路攻擊,難以追查。
科技新報分析指出,台灣的資安人才與駭客不但數量多、技術也相當高端,遠通電收的營運從一開始就爭議不斷,也因此自然會成為許多人「練靶」的目標,雖然這次並非是一個需要極高端技術入侵的行為,但也代表遠通已經被盯上,往後必然還會受到類似的駭客入侵考驗,因此還是應該盡速提升網站與後端的安全性、並隨時嚴陣以待,畢竟遠通與全國駕駛人個資有緊密連結,一次意外都不能出。
資料來源:UDN聯合新聞網
本文轉載自科技新報TechNews
希望趕快建立更安全的方法,不然個資不安全。
之前用遠傳一天到晚收到廣告簡訊、詐騙電話
遠通ETC名為BOT,應該自行負擔營運成本
結果卻是高公局編列每年17億支付給遠通做為設施維護費用
遠通電收資本額64億5000萬元
這點錢就能建置ETC,政府會出不起?
偏偏要找個徐旭東來躺在那裡收錢
何況政府還幫遠通一年付17億的維護費
四年就超過遠通的資本額了
這合理?
這不是官商勾結,什麼是官商勾結
而且儲值的現金全被遠通拿去生利息,炒房地產,炒地皮
房價越來越高,越來越多人買不起房子
高興了?
大家算一算:據國公局資料,民國91年總過路費實收約190億元,若依190/40 * 3.5 =16.6億元,各位想想看1年遠通就可拿16.6億元,那人工收費成本呢,收費站數22 (國1+國3),若每個收費站收費員以四二輪,平均每個收費站抓40個收費員。
總收費員數是880位(880個家庭 * 4人 = 35,200人),平均薪資加年終若以6萬每月算,則人工收費成本是880*6萬/月*12=633,600,000=6.4億
各位網友,你們想想看,高公局一年才花6.4億元養家活口費,卻要拿一年20億元給cb及遠通,從國庫硬生生多拿14億元給cb及遠通,你們說你們服不服啊????國家不是在喊窮嗎???為何還有錢拿給財團呢??真是不懂啊!!!各位說是不是?!!!
不是說台鐵虧錢嗎??那為何不叫台鐵來包ETC呢???為何不拿14億元去支援台鐵,為何拿20億元去孝敬遠通呢???決策者到底是如何拿捏這決策呢???
認同的人,可幫忙整理,再次大量轉mail給周遭親友,這個國庫大黑洞,更請大家不要去支持BOT的ETC
馬政府...遠通未達成使用率...上次的罰款到底政府有沒有開罰啊...政府不是很缺錢嗎...為何對財團就會放水...對老百姓就沒有商量的空間....監察院請彈和相關單位吧?????
違法賄賂招標的遠通電收 拿全民納稅錢補貼電子收費優惠 真是官商勾結的典型代表!