Re: [Vtub] VSPO对个资流出事件的报告
楼主: seer2525 (冠军都是一场梦) 2024-06-26 00:20:05
看上一篇推文感觉很多人被krkr那篇误导了 我自己看了一遍也发现我也搞错了
krkr的推文跟官方公告有些出入
krkr的推文是说只要用google帐号进入应征页面后 你就会得到编辑表单资料的权限
BG的公告表示表单的资料设定是“只公开给知道连结的人”
表单的设定并没有被改成全公开 所以一般人是进不去表单资料 也看不到表单资料的
而公开的应征网址和编辑用的网址是不同的 进到应征页面也不会得到编辑权限
以google表单的逻辑来说krkr讲得不太合理 有用过google表单的应该知道
表单跟后台编辑的网址是不同的
而且google表单没有“填表单就能获与权限”这种设定 这点官方公告比较合理
我刚刚自己也拿以前做的表单试了一遍 的确“给人填写”跟“编辑+后台资料”两个是
不同的网址 设定也没有什么用google帐号登入就能读取的设定
编辑存取权也只有白名单和连结这两个选项
而以官方那边检查得出的结果 没有查到有给予外部帐号权限的纪录
所以得出最有可能的两个结果是
1.不正当的存取 有可能像是爬虫之类的方法爬到这个网址
2.某种原因这个连结被传到了外部第三者
而不只VSPO的表单有流出 BG的其他子公司项目也有查出流出问题
所以...除非有人爬虫这么厉害一次就爬到了BG底下这么多个项目表单的连结...
不然也只有BG内部流出这个可能了
VSPO内部人员流出的话 除非这个人是营运1(社长)等级
不然不可能连BG其他子公司项目的连结也能够取得
另外这些蒐集了上万人的个资表单权限设定居然是用只要知道连结就能读取的IT恐怖故事
我自己猜想VSPO原本表单设定应该就是白名单没有错 毕竟原本VSPO事务所里面人就很少
只是设定个白名单不会麻烦到哪里去 在这之前也没有出过这种问题
但后来被BG收购后 人员扩增 还需要向BG共享资料 有太多社员需要存取
所以就将设定改成了连结...就这样到了现在出了大包
我只能说 营运1你努力了这么多年 做了最大 也是唯一一个错误的决定 就是让BG收购...
krkr的推文跟官方公告有些出入
krkr的推文是说只要用google帐号进入应征页面后 你就会得到编辑表单资料的权限
BG的公告表示表单的资料设定是“只公开给知道连结的人”
表单的设定并没有被改成全公开 所以一般人是进不去表单资料 也看不到表单资料的
而公开的应征网址和编辑用的网址是不同的 进到应征页面也不会得到编辑权限
以google表单的逻辑来说krkr讲得不太合理 有用过google表单的应该知道
表单跟后台编辑的网址是不同的
而且google表单没有“填表单就能获与权限”这种设定 这点官方公告比较合理
我刚刚自己也拿以前做的表单试了一遍 的确“给人填写”跟“编辑+后台资料”两个是
不同的网址 设定也没有什么用google帐号登入就能读取的设定
编辑存取权也只有白名单和连结这两个选项
而以官方那边检查得出的结果 没有查到有给予外部帐号权限的纪录
所以得出最有可能的两个结果是
1.不正当的存取 有可能像是爬虫之类的方法爬到这个网址
2.某种原因这个连结被传到了外部第三者
而不只VSPO的表单有流出 BG的其他子公司项目也有查出流出问题
所以...除非有人爬虫这么厉害一次就爬到了BG底下这么多个项目表单的连结...
不然也只有BG内部流出这个可能了
VSPO内部人员流出的话 除非这个人是营运1(社长)等级
不然不可能连BG其他子公司项目的连结也能够取得
另外这些蒐集了上万人的个资表单权限设定居然是用只要知道连结就能读取的IT恐怖故事
我自己猜想VSPO原本表单设定应该就是白名单没有错 毕竟原本VSPO事务所里面人就很少
只是设定个白名单不会麻烦到哪里去 在这之前也没有出过这种问题
但后来被BG收购后 人员扩增 还需要向BG共享资料 有太多社员需要存取
所以就将设定改成了连结...就这样到了现在出了大包
我只能说 营运1你努力了这么多年 做了最大 也是唯一一个错误的决定 就是让BG收购...
作者: fish7333 (鱼条) 2024-06-26 00:21:00
熟悉的BG最对味
作者: Y1999 (秋雨) 2024-06-26 00:22:00
有BG味了
作者: LoKingSer (鲁王蛇) 2024-06-26 00:23:00
第3大箱要炸掉了吗?
作者: amd7356 (哭哭喔) 2024-06-26 00:25:00
就有些人在吹KR趁机对VSPO落井下石 结果出炉是BG的锅
作者: tsubasa0922 (翅膀一串数) 2024-06-26 00:27:00
就微妙,但能变成这样也是因为收购了有资金能这样玩
作者: memep7 (:D) 2024-06-26 00:27:00
看到现在 真的傻眼到不知道该说什么
作者: Armour13 (鎧甲) 2024-06-26 00:27:00
不过这么长时间都没有流出,说不定没人备分?
作者: Y1999 (秋雨) 2024-06-26 00:28:00
KR:我以为VSPO外泄已经够扯,没想到还有更扯的
作者: tsubasa0922 (翅膀一串数) 2024-06-26 00:28:00
3D各种活动什么的,vspo固然大但资金转不过来也很难干大事
作者: amd7356 (哭哭喔) 2024-06-26 00:30:00
内鬼的可能性比较大 就上面有人提到这么长时间早就流出点东西了 整件事情到现在还是不清楚是怎样
作者: dinosd2 (...) 2024-06-26 00:30:00
BG搞不好还要感谢kr出来爆料才知道外泄事件这么大一条
作者: mk4188623 (MK) 2024-06-26 00:30:00
果然是你阿BG
作者: j022015 ( ˊ ﹀ˋ) 2024-06-26 00:30:00
这一波如果处理不好 很难爬起来了
作者: tom11725 (奥特斯) 2024-06-26 00:36:00
好不容易能挖一波V圈大料这还不大炒一番
作者: alan3100 (BOSS) 2024-06-26 00:36:00
公告只说设定错误的表单不只一个 不代表其他表单有被外流,但肯定是公司内部菜鸟到不知道该设定权限另外自己试是看不到档案是否被他人访问过,不确定企业版又没有功能可以看如果google没提供这功能那资料有没有被外人偷都不知道
作者: PROMAC (安) 2024-06-26 00:44:00
搞不好类似这样外泄的 http://i.imgur.com/RRmDkwe.jpg
作者: alan3100 (BOSS) 2024-06-26 00:45:00
“知道连结就可以存取”就是设定错误
作者: dragon803 (wet) 2024-06-26 00:46:00
推澄清
作者: alan3100 (BOSS) 2024-06-26 00:47:00
白名单是除了要知道连结还要帐号验证才能存取,这是网络资安基本常识放在Google doc默认是白名单才能存取,一定是公司内部人手贱改成公开不然哪有那么多名单都不小心设定错误
作者: keyofdejavu (海洋) 2024-06-26 00:51:00
你真别说,搞不好这名单一开始就是公开的不是什么手贱改的
作者: johnny3 (キラ☆) 2024-06-26 00:53:00
搞不好一直都是知道连结就能连 只是都在公司内部用
作者: yuniko98k (小守护进程-堕天型态) 2024-06-26 00:54:00
但这样从以前都没被爆过是真的很神奇
楼主: seer2525 (冠军都是一场梦) 2024-06-26 00:55:00
我自己是猜测被BG收购前还是用白名单啦 人那么少没必要嫌麻烦
作者: qoos0620 2024-06-26 00:55:00
说白了 不管是改权限还是外流网址 内部人员的可能性太大
作者: yuniko98k (小守护进程-堕天型态) 2024-06-26 00:56:00
也有个可能是本来就这样 但内部员工看不下去 反应给公司也不改 所以就找krkr爆料
作者: Landius (原来我是漆原派啊) 2024-06-26 00:58:00
今年第二起恐怖IT故事了吗...
作者: alan3100 (BOSS) 2024-06-26 01:05:00
刚刚连建立表单都试了一次 确定默认是白名单不是全公开就这公司连基本资安不知道 还公告说权限设定没问题XD
作者: generic (generic) 2024-06-26 01:10:00
发现问题的应该就应征者之一吧 把联结给人就可以存取
作者: alan3100 (BOSS) 2024-06-26 01:10:00
白名单访问也是透过连结呀 只是你要登入且要是白名单内会这样回就是不懂云端本质
作者: qoos0620 2024-06-26 01:11:00
应征者要发现问题 那只能是表单本来就是全公开 但官方公告是没有把权限用全公开过
作者: alan3100 (BOSS) 2024-06-26 01:12:00
你可以自己验证白名单 另开无痕用相同连结就知道差异了
作者: qoos0620 2024-06-26 01:17:00
企业版的设定 应该跟一般帐号有些不同 企业版的表单说不定是可以把表单设定知道连结才能看 就跟官方公告说得一样
作者: kids23 (阿年) 2024-06-26 01:18:00
推查证
作者: alan3100 (BOSS) 2024-06-26 01:18:00
googledoc上传后就有一个连结 不是你透过设定成连结只是UI让你复制该档案原本就有连结不信你自己打开档案 看url跟你按下共用复制出来是同一个
作者: MoonSkyFish (月天鱼) 2024-06-26 01:26:00
是vspo还是bg的锅有差吗?还能把自己摘出去的啊?
作者: alan3100 (BOSS) 2024-06-26 01:28:00
没人管krkr讲啥拉 就权限设定随便,改用下面那个就炸锅了
作者: ssize (咖) 2024-06-26 01:28:00
看养资讯人员到什么程度阿 一般没在养资讯的表单还不是丢给人资自己做 哪有什么正确的资安概念 都马方便行事
作者: chatoff (谜) 2024-06-26 01:28:00
有没有可能 BG的人员当初就是自己设定公开..应征的人多审核的人也多 就懒得设定白名单 天真的觉得连结都内部用不会流出去就没事..就像上面说的 人资自己弄表单 非资讯人员根本没想这么多
作者: alan3100 (BOSS) 2024-06-26 01:30:00
不管是问卷还是连结到试算表 默认都是白名单,偷改就出事
作者: chatoff (谜) 2024-06-26 01:31:00
说不定根本不是偷改 就嫌麻烦当初就直接设公开
作者: alan3100 (BOSS) 2024-06-26 01:32:00
是觉得公司不算小了 一个员工就能出包没人发现有点严重
作者: ssize (咖) 2024-06-26 01:33:00
不然资讯人员出这么基础的包资讯主管还不电到飞起来
作者: chatoff (谜) 2024-06-26 01:34:00
扩展太快 内部监管制度跟不上吧
作者: digitai1 (大抠) 2024-06-26 01:34:00
同chat 就图个传档 工作方便打开 觉得不会怎样然后 万万没想到 如此而已
作者: asasas0723 (as) 2024-06-26 01:35:00
我一直以来都觉得被BG收购是件坏事
作者: joe128135 (待转职的魔法师) 2024-06-26 01:36:00
这种傻眼到可笑的感觉 是我熟悉的BG
楼主: seer2525 (冠军都是一场梦) 2024-06-26 01:41:00
现在最大的问题应该是连结怎么泄漏出去的 最有可能的就是内鬼
作者: qoos0620 2024-06-26 01:45:00
官方公告没问题的话 爆料给krkr的人也是很鬼 能拿到内部连结
作者: dos01 (朵斯01) 2024-06-26 01:56:00
这家很有可能根本没资讯部门 虽然好像钱很多可以买一堆人
作者: alan3100 (BOSS) 2024-06-26 01:56:00
我查google drive api好像有搜寻功能..所以也许爬虫容易
作者: e3633577 (莫言默与) 2024-06-26 01:59:00
从和BG合并的那天就在想会不会又出大包的一天,毕竟
作者: h0103661 (路人喵) 2024-06-26 02:14:00
kr原文没写错啊
作者: pal1231 (御龟神) 2024-06-26 05:53:00
基本资安问题也搞不定 VSPO要成为齁虹一样的大公司还有很长的路要走
作者: abc14455 (SoPoor) 2024-06-26 05:58:00
这样看营运1真的很抗,出问题都不是他但解决问题他一个人顶他真的是少数底下的员工愿意相信的高层
楼主: seer2525 (冠军都是一场梦) 2024-06-26 08:59:00
https://i.imgur.com/ZvgvMwI.jpeg kr第一句就有问题了啊 哪里没错
作者: gn00851667 (唯有湛蓝) 2024-06-26 09:50:00
看看您写的第3和第4句 有没有种可能...他说的就是知道连结之后...而不是指公开的招募
楼主: seer2525 (冠军都是一场梦) 2024-06-26 09:54:00
呃...他的原文就是“用google帐号进入应征表单”这样而已并没有说是编辑页面 他就是说应征表单推特上也有不少人质疑这点有问题 明显就是krkr的说法有问题
