2007-08-23

PTT破大洞 人人都變站長

◆ PTT破大洞 張懸個資也外洩

【聯合報╱記者顏甫珉/台北報導】 2007.08.23

華文世界最大的BBS批踢踢實業坊(PTT)昨天凌晨發生有史以來最大
的安全漏洞,上站網友全都擁有站長權限,可查閱網友的註冊資料,近百萬
名網友的個人隱私全都露。

PTT同時在線人數最多達七萬人,網友小朱表示,PTT當機的當時,有
不少使用者宣稱看到不少名人的個人資料,包含剛發片的人氣女歌手張懸、
常上命理節目的算命家、疑似星光幫成員的個人資料,可能被網友複製流傳


PTT昨凌晨約一時三十五分系統出現異常,新登入的使用者發現功能欄多
了一項「系統維護區」,裡面可任意查詢他人註冊的真實資料、刪改他人密
碼與資料、任意刪改所有文章與發放貨幣等功能。

兩分鐘後,有網友開始在系統版反映問題,但八卦版同時有網友發布重新登
入就享有站長權益的文章,短短十分鐘內,約有近萬人重新登入。

最後在一時五十五分時,PTT站方緊急將站台關機。不過短短二十分鐘內,
據當時在線上的網友指出,恨版與八卦版出現約二十篇公布個人資料的文章
,一時五十二分就有網友nosql表示自己的資料全部遭到刪除,更有網友分
享看到別人帳號的個人資料。

到截稿止,約有十幾個網友反映帳號無故被刪除,三到四個看板文章被刪除
,三十個帳號個人資料不見等異常狀況。但應還有部分網友因沒有登入帳號
,所以不了解自己帳號是否正常。

網友指出,幾年前中山大學BBS發生過網友惡意攻擊美國總統的案例,因
此BBS對於使用者的註冊特別嚴格。像PTT會要求留下真實的個人資料
,讓站方人工認證,否則就得填學校或付費信箱,免費信箱無法註冊。

■PTT是什麼?

批踢踢實業坊(PTT)創立於一九九九年九月十四日,創站者為當時台大
資工二年級學生杜奕瑾。

PTT隸屬台大,目前名稱為電子佈告欄系統研究社,所有硬體設備為該社
團私自募得,但因使用台大的網路,需遵守臺灣學術網路使用規定。

PTT發展出如宅男、鄉民等流行文化用語,以及恨版、笨版、帥哥美女板
等討論區,讓PTT成為新生代的重要流行符號代表。



◆ 有基本尊重吧」 張懸不換電話

【聯合報╱記者袁世珮/台北報導】 2007.08.23

張懸昨天傍晚接獲詢問時才得知電話號碼可能被外洩,她說:「我相信人與
人之間有基本尊重吧。」

張懸長期經營PTT,先前看到PTT上討論她的新歌MV疑似抄襲,立即主動上網
回應,並要求公司撤下MV,獲得網友正面肯定。

所以昨天她得知PTT出狀況,手機號碼可能被公開,還一再追問:「是當機
嗎?怎麼會被公開?是誰做的?還有誰被公開?」

不過張懸並不擔心遭電話騷擾,也沒有更換電話的打算,她說:「我沒有做
什麼壞事,應該不會有人打來惡作劇。」



◆ 人人都變站長 程式有bug 批踢踢站個資外洩

陳至中/台北報導 中國時報 2007.08.23 

台灣第一大電子布告欄批踢踢實業坊(PTT)昨天凌晨出現嚴重錯誤,長
達廿分鐘內,所有登入者都擁有「站長」權限,可任意查詢所有網友資料,
造成有的暱稱被改為「三字經」或文章被惡意修改,個資外洩。

這是PTT首次發生此種錯誤,站方緊急關站,昨天下午已完成修復。

PTT昨日凌晨一時卅分進行程式更新,但新程式出現錯誤,一時五十分系
統人員接獲通報後,緊急關站因應。然而,在之前的廿分鐘內登入者,都可
進入「系統維護區」,形同每個人都擁有站長權限。

「我怎麼收到批踢踢幣哇?」昨天凌晨,許多網友反應,無緣無故收到站長
發放的大量批踢踢貨幣,笑稱自己「富可敵國」、「出門怕會被搶」。或者
登入後赫然發現暱稱被改成三字經,收到奇怪的告白信等。部分版主也提報
,看板文章遭惡意修改,正經文章被改成搞笑版等奇怪狀況。

站方昨天關站後,緊急決議先將系統回復到廿一日狀態,好讓期間被修改的
文章、個人資料以及無緣無故多出的批踢踢幣回歸正常。然而,若有心人士
趁此錯誤將大量網友資料外洩、轉存,個人隱私恐怕不保。

批踢踢新聞部長高嘉瑜表示,針對昨夜使用者更改權限的動作,亂發批踢踢
幣給自己等,系統留有紀錄檔,共有一二七筆,管理者稍後開會討論是否要
懲罰。但期間查詢他人資料者,系統設計無法留下任何證據,站方也無法追
究。

高嘉瑜表示,大部分網友不會在批踢踢留下真實資料,資料外洩影響應不致
太大。但她承諾,若有任何網友隱私因此遭到侵害,站方會協助處理法律事
務。

批踢踢管理者近日也將開會檢討,如何解決此次的問題及預防方法。若因系
統回復到廿一日狀態,導致網友資料錯誤、看板文章消失等,批踢踢承諾盡
力還原。昨天PTT上還沒有太多網友批評這個「錯誤」。



◆ PTT錯誤20分鐘 127筆資料遭修改

【聯合報╱記者陳智華/台北報導】 2007.08.23

PTT公關站長高嘉瑜昨天對於因程式更新發生錯誤,可能導致部分網友資料
外洩一事表示歉意,也強調會檢討改進。

高嘉瑜表示,目前沒有會員反映資料外洩,但如果有,PTT會協助找到散布
者,也會負起應有的法律責任。

高嘉瑜說,PTT每兩周都要更新系統程式,昨天更新後於凌晨一時卅分重新
上線,因系統中有錯誤,導致上網登錄者都有站長權限,可任意觀看、搜尋
、新增、修改全站一百萬會員的個人資料,並發送虛擬的PTT貨幣。相關人
員發現錯誤後,凌晨一時五十分關站,直到昨天下午一時四十五分重新開站


高嘉瑜指出,清查後發現系統錯誤的廿分鐘,有一萬人登錄,紀錄顯示有一
百廿七筆修改權限,多數是會員發送虛擬貨幣給自己,五筆則是更改使用者
密碼;部分看板功能設定則遭更改,文章被大量刪除或標記,這些更動都已
恢復。

不過,有站長權限即可查詢會員資料,這廿分鐘有多少會員個人資料被看過
、下載甚至外洩,高嘉瑜說,這部分完全無法清查。

高嘉瑜表示,會員登錄時留下的資料包括姓名、地址、生日及電子信箱,但
沒有身分證字號,相信多數都是假資料。

高嘉瑜說,經過這次教訓後,未來測試系統時,會另開網站測試,確保無誤
後,才會正式上線。



◆ 消基會:PTT非營利 難求償

【聯合報╱記者顏甫珉/台北報導】 2007.08.23

由於PTT屬於非營利機構,且沒有收費行為,消基會董事長程仁宏坦言,
即使個人資料外洩,實際求償有相對困難。

程仁宏指出,PTT屬於非營利機構,站在提供服務的角度,仍必須做好安
全防護。經過這次事件後,PTT應該明確說明這個免費的服務有可能遭受
駭客攻擊,或有任何缺失的可能性讓使用者知悉。

另外網友則表示,PTT對於真實身分認證相當嚴格,如今卻又指稱網友大
多數用假資料登錄,對於遵守規定的網友來說,真是情何以堪。

網友JeffyLiaw就要求PTT站台如果不能有效保護網友隱私,就不能要求
填寫正確的個人資料。

消基會提醒,盜看他人個人資料的網友,只要有任何的騷擾行動,就會違反
電腦處理個人資料保護法第三十四條,可處三年以下有期徒刑。

※ 相關報導:

* Blog.XDite.net PTT 史上最大烏龍!
http://blog.xdite.net/?p=445

* 電腦處理個人資料保護法
http://law.moj.gov.tw/Scripts/NewsDetail.asp?no=1I0050021

* 電腦處理個人資料保護法施行細則
http://law.moj.gov.tw/Scripts/NewsDetail.asp?no=1I0050022

無名小站凸槌 網友私密照曝光
帳號二合一無名網友譙奇摩
調查:網路像叢林/Apache 地位開始動搖
Google News 提供新聞當事人加註評論
中國 13 億人口 身分納入資料庫管轄

沒有留言: