[新闻] 抓到了！露天拍卖大漏洞，消费购物资料 allen501pc PTT批踢踢实业坊

[新闻] 抓到了！露天拍卖大漏洞，消费购物资料

楼主: allen501pc (Linux User!) 2015-08-22 05:05:31

1.媒体来源:
硬是要学
2.完整新闻标题:
抓到了！露天拍卖大漏洞，消费购物资料全都“露天”！
3.完整新闻内文:
文/好手发表于 2015/08/21
在网拍上买东西没多久后就接到诈骗集团来电告知“分期”设定错误，这应该是许多网拍
买家都有遇到的事情，过了这么多年诈骗案件还是层出不穷，向站方申诉得到的都是个资
未外泄，诈骗集团依然可以精准的取得订单资料，到底是为什么？
今天资安专家 Zhi-Wei Cai 在 Facebook 上录制了一段影片，揭露露天拍卖这个可以伪装
成“任何人”的漏洞，透过这个漏洞，有心人士可以绕过系统安全机制，直接伪装成任何
卖家，并且检视该卖家的成交资料，并可以进一步的取得卖家的联络方式、付款方式等资
料。推测诈骗集团应该是使用同类型的方式取得消费者资料。
同时，Zhi-Wei Cai 也指出至少在一年前就已经有安全研究者将问题回报给露天拍卖，
但一直到这个影片被公开至网络上之前，露天拍卖完全没有任何修复动作，露天拍卖变
成诈骗集团的 Open Data (开放资料)，也让该平台的消费者蒙受个资遭窃的风险。
对于露天拍卖的处理态度，Zhi-Wei Cai 则说：“封闭消息、否认问题的存在或用法律手
段让大家噤声并不能使问题消失。只有尝试修复问题才能真正解决问题，有问题并不是可
耻的事情，但是视而不见，把客户的安全置于险境，就是个大问题了。比起 App 安全认证
，涉及金钱交易的平台应该优先进行规范才是正确的做法。”
身为台湾网络拍卖平台的先驱，业者应该以更积极主动的态度面对各种资安问题，对于重
复发生机率如此高的问题，露天拍卖在经过一年的时间不但无法主动发现并排除，直至影
片被曝光后工程团队才赶工排除，我们也很想问露天经营团队：你们将消费者的安全摆在
第几顺位？
4.完整新闻连结 (或短网址):
http://goo.gl/vuv0jn
5.备注:
露天拍卖帐号大量遭盗？业者：不算异常
http://goo.gl/N9iCk5

作者: johnhmj (耗呆肥羊) 2015-08-22 05:06:00

幸好我不用露露。

作者: slimak (shady) 2015-08-22 05:08:00

超难用

作者: kasion (彩色猴子) 2015-08-22 05:08:00

司法:它都说露天了你相信他所以查无不法

作者: kisc32950 (睡神) 2015-08-22 05:08:00

露天真的品管很烂…

作者: k321045 (蒜泥厉害) 2015-08-22 05:10:00

露天不意外

作者: peine (peine) 2015-08-22 05:10:00

好险从来没用过

作者: openpower 2015-08-22 05:11:00

其实阿收集卖家的资料是可以干嘛??

作者: suginamiki (日光小树) 2015-08-22 05:12:00

这个新闻一定过几天又不见了..露天真的很烂

作者: ian0119 (伊恩) 2015-08-22 05:13:00

露天有品管？

作者: ctimtaml (CTLEE) 2015-08-22 05:14:00

露天的客服根本虚设

作者: cul287 (希悠) 2015-08-22 05:14:00

可是Y拍也回不去了都在比烂的

作者: mydarkfight (艾特) 2015-08-22 05:19:00

盗帐号当人头啊

楼主: allen501pc (Linux User!) 2015-08-22 05:21:00

如果可以，拜托大家能够置底一下。我太早起床贴文了。

作者: francmiss (以领养代替购买) 2015-08-22 05:26:00

詹宏志你要不要解释一下？

作者: ahinetn123 (＊兔) 2015-08-22 05:29:00

露天烂死了掏宝强不是没道理 8591也好太多

作者: battery989 (battery) 2015-08-22 05:30:00

唉有够烂

作者: mike7689 (帅啊~!老皮~!!) 2015-08-22 05:30:00

现在都宁愿用淘宝买

作者: Romaps (药儿) 2015-08-22 05:30:00

露天就是垃圾

作者: sss22563987 (鲁蛇之王) 2015-08-22 05:30:00

还好注销帐号了

楼主: allen501pc (Linux User!) 2015-08-22 05:31:00

拜托不要嘘我，这新闻很重要。嘘一嘘就没人看了。Q__Q

作者: Jimny5566 (帅啊!老皮!) 2015-08-22 05:31:00

可怜....是不是待遇低到连遇到状况都不想告诉主管?

作者: pcfox (京极元狐) 2015-08-22 05:31:00

詹宏志意外吗？反正就是境外企业，杂志部门的员工水准更低

作者: d9321003 (阿鸿) 2015-08-22 05:31:00

真得很夸张受害者+1

作者: didi2931640 (青草茶) 2015-08-22 05:35:00

帮高调

作者: qtzero (qtzero) 2015-08-22 05:42:00

这就是竞争力

作者: larailing (奈) 2015-08-22 05:42:00

真方便搞不好自己也在里面玩

作者: s4001 (风羽) 2015-08-22 05:47:00

还好之前被盗早早就报警了...

作者: francmiss (以领养代替购买) 2015-08-22 05:49:00

p大真的，一副文化人的样子，结果公司设在开曼群岛避税

作者: s4001 (风羽) 2015-08-22 05:49:00

这个可不可以打团体诉讼请求业者未尽善义管理人赔偿阿....???

作者: operatorm (mijang) 2015-08-22 05:50:00

露出

作者: j8ci5k (原来我有面试魔咒) 2015-08-22 05:50:00

明明有登入失败的纪录，通报客服却说：查无异常登入纪录

楼主: allen501pc (Linux User!) 2015-08-22 05:52:00

To francmiss: 有讯息连结吗？

作者: lovefanfantu ((水牛出来玩>v<!)) 2015-08-22 05:54:00

推

作者: tep1214 (男人的肾脏是女人的宝藏) 2015-08-22 05:57:00

受害者+1 都没用还被上架卖一堆东西

作者: jbmm (过客) 2015-08-22 05:59:00

帮高调。台湾网拍真的惨输大陆超~级~多

作者: mike7689 (帅啊~!老皮~!!) 2015-08-22 06:00:00

3个月前才被盗过帐号上架一堆垃圾

作者: francmiss (以领养代替购买) 2015-08-22 06:00:00

a大，城邦的书版权页上都有写

作者: akay08 (Ara_K) 2015-08-22 06:01:00

帮你推推

作者: s9816 (是噜噜咪不是河马!) 2015-08-22 06:09:00

帮堆啦~太夸张

作者: doom3 (ⓓⓞⓞⓜ③ ) 2015-08-22 06:12:00

露天不意外

作者: mystage (亭) 2015-08-22 06:18:00

连淘宝都比露天安全

作者: joumay (怪怪的小其) 2015-08-22 06:18:00

能搞出这么多案子能拖这么久 PCHome 真是不简单呢~~~

作者: mystage (亭) 2015-08-22 06:19:00

我每次露天买完东西一定有诈骗短信

作者: l615646 (OAOAOA) 2015-08-22 06:29:00

推

作者: dinel7821967 2015-08-22 06:32:00

早就失望透顶不用了

作者: ytw8216 (ytw) 2015-08-22 06:41:00

露天烂到不行，盗个资盗帐号让我自己要客服把自己停权

作者: DarkerDuck (é”å…‹é´¨) 2015-08-22 06:45:00

露天本来就超烂，个资安全性比淘宝还差XDDD

作者: prunus (杏花儿) 2015-08-22 06:47:00

高调、露天把自己搞真烂

作者: qqq0103 (fqdf) 2015-08-22 06:49:00

烂露天

作者: gn01622545 (逐渐师去热情的人) 2015-08-22 06:52:00

高调之前的其它对露天爆卦几乎都没上新闻这篇一定

作者: g8330330 (负债700万) 2015-08-22 06:54:00

高调

作者: Fallen27 (Re*) 2015-08-22 06:54:00

拉基公司

作者: francmiss (以领养代替购买) 2015-08-22 06:56:00

给a大，http://goo.gl/PDqpzT

作者: xu3ej04vu06 (土拨鼠) 2015-08-22 07:03:00

高调高调

作者: kauti (kauti) 2015-08-22 07:05:00

露天泄漏个资有名的咧

作者: F16V (Manners maketh man.) 2015-08-22 07:05:00

不过大家有什么办法能真正注销帐号?你还不是要给真正资料你敢给?

作者: a23633302 (凤梨口味鸡肉饭) 2015-08-22 07:07:00

烂

作者: seekeve ( ) 2015-08-22 07:11:00

真的颇糟糕的

作者: kerodo (kerodo) 2015-08-22 07:12:00

已经烂很久了，红的卖家都还成立自己的交易平台

作者: ewqewq123123 (ala) 2015-08-22 07:18:00

詹宏志：露天拼明年海外挂牌ㄏㄏ

作者: mecca (咩卡) 2015-08-22 07:24:00

嘘露天难怪一大堆被盗帐号刊商品的

作者: myrzr ( ) 2015-08-22 07:25:00

烂透了，歧视人不在台湾的用户，安全码只寄给台湾电话

作者: wxyz111 (恢复生命玩心) 2015-08-22 07:26:00

已经注销帐号了，但还是很担心

作者: Argyris (自宅警备员 Lv.1) 2015-08-22 07:32:00

烂透了+1

作者: davidbright (^ ^) 2015-08-22 07:36:00

....

作者: nicoleshen (㊣㊣) 2015-08-22 07:37:00

被淘宝屌打

作者: linein (linein) 2015-08-22 07:44:00

露天都卖淘宝货

作者: AJ831112 (A.J.) 2015-08-22 07:45:00

唉

作者: KirinP (KirinP) 2015-08-22 07:48:00

烂公司XD

作者: gigikikih (天空下的蓝雨) 2015-08-22 07:58:00

高调

作者: lkjfds (故意德) 2015-08-22 08:00:00

购物平台抽%合情合理但网络安全还是要顾建议露天找几家专门在做这块的公司建立安全系统

作者: Workshy (Workshy) 2015-08-22 08:02:00

没挂

作者: nausea (nausea) 2015-08-22 08:04:00

我也被盗过帐号真是莫名

作者: ronray7799 (百变Q葫芦娃) 2015-08-22 08:04:00

有没有能取代露天的网站啊

作者: francmiss (以领养代替购买) 2015-08-22 08:05:00

l大有看内文吗？

作者: gomidonnsine (ゴミ丼不倒台湾不会好) 2015-08-22 08:05:00

原来如此

作者: ABA0525 (小火柴) 2015-08-22 08:06:00

这个告个资法可以赢吧?

作者: new8gi (新八机) 2015-08-22 08:06:00

去pchome吧

作者: melike671 (123456) 2015-08-22 08:07:00

推团体诉讼

楼主: allen501pc (Linux User!) 2015-08-22 08:08:00

谢谢f大的资讯，城邦也太大了吧。

作者: fumitojun (fumi) 2015-08-22 08:10:00

高调，露天真的超烂！

作者: PlayPtt (α＋β＝γ) 2015-08-22 08:24:00

靠..难怪偶会接到一些怪怪的电话

作者: olin7745 (Olin) 2015-08-22 08:26:00

8591手续费太贵了，而且提领麻烦

作者: ttsieg (@.@) 2015-08-22 08:27:00

高调额

作者: narsas (莳萝) 2015-08-22 08:28:00

再也不用露天了

作者: chadzen 2015-08-22 08:31:00

难怪炸骗会打来..还知道你买什么..

作者: sggs (请到consumer爬文) 2015-08-22 08:31:00

我的联邦银行主动致电我换卡，换卡前最后一笔刷卡就是露天

作者: ccps0711 (ccps0711) 2015-08-22 08:31:00

推垃圾公司

作者: mars1985 (╰|∵|╯) 2015-08-22 08:32:00

本来就很烂自求多福只想收钱。淘宝屌打

作者: evelyn055 (绮希) 2015-08-22 08:32:00

所以我被盗让他锁帐后就决定再也不用露天了

作者: dynamitefish (爆炸鱼) 2015-08-22 08:33:00

赶快来买淘宝压压惊

作者: mars1985 (╰|∵|╯) 2015-08-22 08:33:00

看到那app 垃圾一个

作者: gunfighter (B51) 2015-08-22 08:34:00

第一次在露天买隔天就接到诈骗电话就再也没用过露天

作者: evelyn055 (绮希) 2015-08-22 08:35:00

最需要注重资安跟交易安全的平台出事只会怪消费者处理的还超不积极（我投诉被盗到客服回应及锁我帐都过几天了）烂透

作者: aowen (...) 2015-08-22 08:38:00

鬼岛的软件业落后阿共一大截

作者: a870209tw 2015-08-22 08:40:00

数字科技不弄个拍卖吗

作者: GimO (Gimo) 2015-08-22 08:50:00

淘宝比露天好一万倍

作者: adon0313 2015-08-22 08:54:00

露天拍卖是跟诈骗集团合作8951交易费太高阿

作者: mdkn35 (53nkdm) 2015-08-22 08:57:00

个资露天

作者: francmiss (以领养代替购买) 2015-08-22 08:58:00

跟诈骗集团合作XD

作者: mirja (莫佳) 2015-08-22 09:02:00

高调

作者: ls4444 (哈利波蔡) 2015-08-22 09:04:00

用批西轰就好啦鼠标刚点下去门铃就响了

作者: yinling0105 2015-08-22 09:07:00

......

作者: m19871006 (雁) 2015-08-22 09:08:00

强者我朋友

作者: schopan (去) 2015-08-22 09:08:00

高调

作者: persis0912 (琥珀) 2015-08-22 09:08:00

高调

作者: momo504131 (小花) 2015-08-22 09:10:00

唉，业者要告人了

作者: kikicoco168 (起飞) 2015-08-22 09:15:00

我是受害者之一

作者: silentence (小飞号：号：) 2015-08-22 09:15:00

难怪那么多被盗的,最好只有使用者问题....

作者: bakapika (淋老湿) 2015-08-22 09:17:00

露天的日常

作者: aiyouwei (双瓶蟹) 2015-08-22 09:18:00

受害者+1

作者: drigo 2015-08-22 09:26:00

老板赚那么大，连基本的资安都做不好，我看连第三方支付可能也安全不到哪去

作者: gdtg10900 (哎呀跌倒) 2015-08-22 09:38:00

台湾不重视软件又不是第一天了习惯就好

作者: saint01 (圣灵衣) 2015-08-22 09:40:00

都叫露天了是有多安全？

作者: lover19 (アキラ) 2015-08-22 09:54:00

我常用露天不过完全没接过诈骗反倒是奇摩接过一次

作者: zkrs (XXX) 2015-08-22 09:58:00

反应多次资料外泄，客服都以官方回答，是买卖方资料外泄，

作者: oidkk (啧啧) 2015-08-22 09:58:00

高调

继续阅读

Re: [问卦] 为什么手机板很多人觉得iPhone是垃圾?Hate5566 Re: [问卦] A槽跟B槽时代有多不方便？AM903651 [问卦] 为什么啥事都扯到政治，有病吗？slick77 Re: [问卦] 为什么手机板很多人觉得iPhone是垃圾?huabandd Re: [问卦] 实用小物chur0724 [问卦] 有没有屋顶上另一个人的八卦malindorothy [问卦] 年收入要多少才敢结婚?sth336 Re: [问卦] 为什么手机板很多人觉得iPhone是垃圾?onlychan Re: [问卦] A槽跟B槽时代有多不方便？d86249 Re: [问卦] 为什么手机板很多人觉得iPhone是垃圾?language1215

[新闻] 抓到了！ 露天拍卖大漏洞，消费购物资料

[新闻] 抓到了！露天拍卖大漏洞，消费购物资料