大三生與高三生 兩人聯手入侵
台灣最大部落格網站「無名小站」發生會員資料外洩事件!刑事警察局偵九隊
三組查獲由東海大學大三陳姓學生與洪姓高三生組成的駭客集團,以「XSS
漏洞」方式入侵無名小站。
中國駭客竟仿效 連結下載個資
警方已將兩人先以妨害電腦使用罪嫌送辦。不過,他們的手法似已引發中國駭
客仿效,將取得的個人資料貼在中國的網站上,甚至還提供一個檔案連結,讓
網友可以下載他所抓得的部分無名小站用戶資料。
「無名小站」存有近兩百萬會員個人檔案的資料庫,因此成為駭客練功的最愛
之一。警方發現陳某涉嫌以「XSS漏洞」方式入侵無名小站,同時還在台灣
駭客年會發表專題時,發表自己入侵無名小站的方法與駭客分享。
鑽XSS漏洞 侵30餘學校企業
警方也發現,化名「bf」(black farmer)的陳姓大學生(二十一歲)與化名
「IK」的洪姓少年共同成立駭客網站,改寫中國駭客撰寫的駭客程式,入侵國
內包括中原、實踐、逢甲等三十多所學校與企業的電腦主機,偷取大批個人資
料及商業機密,再於網站上大肆炫耀,還有不少學校的電腦社團都會找陳某(
bf)去演講。
這些遭竊的會員資料部分已流傳到中國大陸;一名暱稱「黑雨天使」的網友,
就在中國一個以駭客為主題的網路論壇上發表「號稱台灣最大Blog站點(無名
小站)存在嚴重XSS漏洞」文章,指出他在無意間測試台灣無名小站,沒想
到「如此的爛,沒幾下子就搞定了」!
他甚至還提供一個檔案連結,讓網友可以下載他所抓得的部分無名小站用戶資
料,包括真實姓名、聯絡電話、通訊地址、職業收入等,一覽無遺。
這篇文章貼出三天來,已經有近兩百人瀏覽,該網站主要是討論駭客技術、發
表被駭網站為主。
警方表示,由於bf曾在駭客論壇上發表入侵無名小站的經過,可能因此有中國
駭客仿效入侵。
無名小站:被竊資料僅13筆
與駭客激戰十多分鐘
無名小站昨日證實,會員資料庫確實在今年八月間遭駭客入侵,竊走部分資料,
當初因為工作人員發現後,和對方在網路上展開十幾分鐘的攻防,最後終於逼
退對方,初步統計僅有十三筆資料在過程中被竊走,站方在這次教訓後,就立
刻修補系統漏洞。
無名小站董事長林弘全表示,事情發生當時就已向檢調單位報案,也已鎖定兩
名特定人選,但並沒有馬上通知個人資料遭竊的當事人,之所以未及時通知會
員,主要是因為偵查期間不公開,為避免打草驚蛇,加上檢察官建議先提起告
訴,再通知資料被竊者處理後續,今天將主動通知當事人。
一名資料被駭客公開的楊先生氣憤地表示,因為站方規定VIP必須留真實的
資料,因此他相當老實地留下個人真實資料,卻沒想到反遭竊取,雖然到目前
為止還沒有接到騷擾電話,但還是很擔心資料外洩後的影響,一定要向站方抗
議。
林弘全強調,每天都有來自全世界各地的駭客來挑戰,但在站方的努力下,都
能擊退對手。無名小站不論付費或一般會員,個人資料保護都是用最高等級,
並不會有差異,網友可以放心使用。
XSS 利用程式漏洞抓資料
〔記者郭怡君、袁世忠/台北報導〕針對駭客入侵無名小站部落格竊取個人資
料,以掃毒軟體、防火牆程式聞名的趨勢公司建議,在確認網站的可靠度前,
民眾最好別隨便留真實的資料。
趨勢科技說,XSS這種侵入方式,大約在二○○二年就出現,手法是利用撰
寫網頁的程式漏洞,植入惡意程式或抓資料,有些也會進入網頁後,將連結導
入另一個假的網站,不知情的網友連上後,任何留下的資料都被會駭客接收走,甚至同樣被植入後門程式。
由於一般民眾難以區別,趨勢公司建議,民眾最好別隨便留真實的資料,另也
可以多利用防護、掃毒軟體。
負責建置國家資通安全會報的行政院科技顧問組表示,對於官方網站的防護,
近幾年已和中央及地方政府密切保持聯繫,並且加強教育宣導。
科顧組執行秘書兼發言人汪庭安指出,政府任何機密文件,在電腦上必須做到
「實體隔離」,也就是使用完全不上網的電腦處理機密資料。
汪庭安強調,資訊技術發展日新月異,駭客手法越來越高明,但官方單位維護
資通安全的人力和經費都嚴重不足,以科顧組的資安小組為例,只有六、七人
卻要負責幫忙全國資安事務,防護相當辛苦,亟需立法院和地方議會支持。
留言列表
我的部落格蒐藏 
