這件事我自己在一星期前發現,可能已經洩露一陣子了。
包含我的姓名、電話、學校系所、還有一個電子郵件地址,
當然還有其他很多人的。
目前已經聯絡成功大學那邊,這台洩露資料的主機已經被關閉,
不過搜尋引擎的cache可能還在,所以我只會講怎樣發現的。
首先我上禮拜用WhosCall看了一下我自己的手機號碼,
結果意外發現一筆來源,有我姓名、電話、學校系所、信箱,
更妙的是那還是個資料庫備份檔。
(當然這個檔案裡面也有很多各校研究生、教師的個人資料)
先來說說WhosCall這個東西,這是一套臺灣人開發的app,
在Android平台上可以過濾電話,或是查看通訊錄、通話紀錄中的電話可能是誰的。
其中這個查詢功能,拜Google、Baidu很會亂找東西之賜,搜尋能力還蠻強的,
幾乎是只要你的電話號碼有出現在Internet上的某個角落,就會被找到。
所以這次洩露的來源,也真夠扯的,
從資料內容與格式看起來,應該是我之前在E-tutor平台上流過的資料。
(E-tutor是個教育部軟體人才培育計畫的產品,之前還跟他們開過幾次會)
從洩露資料的主機IP看起來,是來自成功大學(140.116.xxx.xxx),
我認為這應該是當時測試平台上的備份檔。
(phpMyAdmin產生的MySQL備份檔,.sql的純文字檔)
(檔名竟然還就叫作localhost.sql ...XD )
更好玩的在後頭,為什麼這個檔案會外洩?
因為不知道哪個天才,產生這個備份檔後,
竟然存放在那臺主機httpd服務的public區域內,
而且那臺httpd服務的目錄瀏覽(Indexes)功能還是打開的。
(目錄瀏覽通常是用在搭配提供檔案服務的主機,
比如說public FTP站台提供一個瀏覽器瀏覽介面)
(一般做為網頁應用程式服務用的伺服器,一定會把目錄瀏覽關掉,
也可能會使用自定錯誤訊息,並且把指令碼錯誤訊息關閉,避免被找漏洞,
甚至有人會把URL上指令碼的副檔名隱藏,或是大量使用URL re-write避免被trace。)
因此,這臺主機上httpd公開的資料夾,就被很厲害的Google建立所引了,
然後那個localhost.sql裡面許多人的個資,就這樣被公開在Internet上了。
看起來架這主機的大概是個菜鳥,因為它用的是Apache 2/Win32/PHP 5。
(搞不好還是用架站懶人包...)
這真的是個非常扯的失誤......
我覺得即使在這個領域內,沒有sense的人還是不少...
所以也難保這種事不會再發生。
更糟的就是決策階層,往往矯枉過正,訂出一些很麻煩、很浪費資源的安全政策,
但是其實成效有限,如果所有的人都有足夠的安全概念,
其實資安是不難做到的,所以...教育是很重要的。
沒有留言:
張貼留言