Re: [新闻] 104人力银行有漏洞 求职个资全都漏!

楼主: howshou (好小 )   2014-07-12 10:46:43
※ 引述《xampp (xampp)》之铭言:
: ※ 引述《Shumix ( )》之铭言:
: : 中视新闻 https://www.youtube.com/watch?v=iz-7BgwAjTw
: : 发布日期:2014年7月11日
: : 国内最大的人力银行业者104,号称有500万会员,结果现在有人发现,
: : 只要用特定的网络浏览器,下载了免费的APP,只要30秒钟,就能取得别人
: : 个资,不管是照片,电话或学经历全都漏,这么可怕的资安漏洞,104坦承
: : 有缺失,投诉人写信告知问题,经过4天,104才有改善
: 其实104有这个漏洞我感到蛮意外的
: 因为我以为是104登入的时候没有吃到加密连线被人投诉了
: 每次登入打密码的时候 我都很剉
: 因为浏览器都会告诉我 104看起来有用加密连线
: 但是送出帐密的时候是没有加密的 所以其他人还是可以截取我送出的帐号密码
: 结果没想到原来还有更大条的漏洞
104获颁 ISO 27001 资讯安全管理系统认证
http://www.104.com.tw/media/life_content.cfm?id=94706067899061219
104资安专案委由勤业众信联合会计师事务所担任管理顾问,于专案启动后,展开五个阶
段作业,先进行资安体系评估(例如现况诊断及差异分析)、再进行风险辨识(包括主机
查核、弱点扫描、渗透测试的技术性查核),建置资安体系之后(例如确认资安管理文件
清单、撰写修改文件)、必须全面落实与稽核资安管理制度、最后进入资安认证准备,前后
历时九个月,全集团各单位与员工共同参与。
明明经过了弱点扫描、渗透测试,怎么可能有这种情况,
有没有渗透测试经验的人可以分享,
到底类似的国际验证的渗透测试是玩真的还是假的啊?
作者: linceass (ギリギリ爱 ~キリキリ舞~)   2014-07-12 10:47:00
人力银行讲的话能信 633早就达成了
作者: LyoBei (刘 备 , 字 玄 德)   2014-07-12 10:48:00
有内鬼,懂?
作者: i7851 (Cookie Monster)   2014-07-12 10:48:00
勤业:干,带赛
作者: nodamekumi (dame)   2014-07-12 10:50:00
是之后又有修改程式或系统吗
作者: jones2011 (σ゚▽゚)σ)   2014-07-12 10:54:00
呵呵...俺是不信的...
作者: sinohara (kinu)   2014-07-12 10:55:00
ISO ISO如高装检
作者: jones2011 (σ゚▽゚)σ)   2014-07-12 10:56:00
只要有那种要给有需求的客户可以浏览人材数据库的业务那么便有可浏览非特定人员资料的权限或金钥流传在外然后只要哪个环节出个包...
作者: dinotea (﹃﹄【绿茶】﹃﹄)   2014-07-12 11:20:00
只要有系统 就有漏洞

Links booklink

Contact Us: admin [ a t ] ucptt.com