根據蘋果日報的讀者爆料,遠傳的手機簡訊連結有相當低級的資安漏洞。根據用戶反映,只要透過遠傳官方傳送的續約簡訊,略微修改網址上用戶的電話號碼,就可以馬上看到其它用戶的個資。
由於先前向遠傳申辦499方案的許多用戶已經到期,因此遠傳陸續針對這些用戶寄出了續約的優惠簡訊,並且以連結來讓用戶察看相關的資費內容,如果你要利用這個優惠方案續約的話,就可以點選並且進行身份認證,以辦理續約。
不過,有一名工程師用戶在過程中發現,上方秀出的網址結尾,是以他的手機號碼來進行區分。在一堆網頁編碼中,可以辨識出來包括身份證號碼以及中文地址。然後他試著將網址結尾用別的用戶的電話號碼來取代,結果發現竟然一樣可以秀出他人的資訊。
這屬於相當低級的漏洞,工程師表示,只要透過Chrome瀏覽器內建的開發者工具,就可以直接看到網頁後台的資訊,可以秀出包括使用者的名字、地址、郵件、身份證字號等資訊,不需要多厲害的資安技術就能看到。
而遠傳針對此事表示目前還在瞭解調查中,調查清楚後將會盡快進行說明。
更新遠傳官方回應如下:
遠傳感謝某位用戶的指正,我們已經立即將續約簡訊的客製化服務關閉。一般用戶還是可以透過身分驗證程序後,由網路登錄完成續約。
對於本公司本次簡訊續約的設計,是讓我們特定用戶本人以特定連結登入後僅能看到自己的資料,方便續約。但是的確疏於防範有心人士,透過其個人電腦背景找尋系統破綻去查看其他消費者的資料,遠傳已經在檢討改進。
我們也立即清查過去以來,是否有不法人士透過這樣的方式查詢其他消費者資料,確實發現了極少數個案,我們會主動聯繫這幾位客戶。對於以不當方式查詢他人個資的人,我們也會與警政單位配合調查並了解用途。請用戶安心。
對此事件,遠傳深感抱歉,也很遺憾未能被即時告知即時改正。還希望所有愛護遠傳的用戶對我們的缺失隨時不吝指教,我們一定即時慎重處理。
- 資料來源:蘋果日報
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!