7萬公務員薪資帳戶外洩 北市資訊局竟不知 - 公職
By Olive
at 2017-01-11T19:57
at 2017-01-11T19:57
Table of Contents
IThome這篇解釋的蠻清楚的
http://www.ithome.com.tw/news/111107
以下截取重點
到底外洩的資料是什麼?李維斌指出,目前臺北市資訊局調查的結果,大約有190筆的薪
資報表的連結外洩,不過每筆報表的受影響人數並不確定,但可以確定的是,臺北市府員
工的薪資資料庫並沒有外洩。
李維斌進一步解釋,這些外洩的資料其實是由出納人員製作的當月薪資報表,以往只有各
單位特定人員,有權連上這個放在DMZ區的薪資發放管理系統,輸入帳號密碼後,可以調
閱內網員工薪資資料做成當月薪資報表後,報表完成會就會產生一個報表連結,有這個報
表連結的人就可以下載該份薪資報告。
他也說,以往資訊局把有這個報表連結的人,視為是內部人士才可能有這個連結,所以,
以前是有連結的人,可以直接下載該檔案,「這是一個內部系統存取權限設定錯誤的案例
,才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋,這是一種所謂的商業邏
輯錯誤(Business Logic Fault),是一種作業流程或程式邏輯出現的錯誤,目前用工具
的弱點掃描(Vulnerability Assessment )並無法檢測出這類的漏洞,依賴人工的滲透
測試(Penetration Test)才比較有機會找到這類的弱點,但往往需要長時間、高頻率的
檢測,也高度仰賴滲透測試工程師的功力,難度相當高。
問題點主要就兩個
1.薪資系統放DMZ區,開放外網連結
2.報表檔有連結即可下載,沒有像一般系統一定要登入檢查權限
--
http://www.ithome.com.tw/news/111107
以下截取重點
到底外洩的資料是什麼?李維斌指出,目前臺北市資訊局調查的結果,大約有190筆的薪
資報表的連結外洩,不過每筆報表的受影響人數並不確定,但可以確定的是,臺北市府員
工的薪資資料庫並沒有外洩。
李維斌進一步解釋,這些外洩的資料其實是由出納人員製作的當月薪資報表,以往只有各
單位特定人員,有權連上這個放在DMZ區的薪資發放管理系統,輸入帳號密碼後,可以調
閱內網員工薪資資料做成當月薪資報表後,報表完成會就會產生一個報表連結,有這個報
表連結的人就可以下載該份薪資報告。
他也說,以往資訊局把有這個報表連結的人,視為是內部人士才可能有這個連結,所以,
以前是有連結的人,可以直接下載該檔案,「這是一個內部系統存取權限設定錯誤的案例
,才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋,這是一種所謂的商業邏
輯錯誤(Business Logic Fault),是一種作業流程或程式邏輯出現的錯誤,目前用工具
的弱點掃描(Vulnerability Assessment )並無法檢測出這類的漏洞,依賴人工的滲透
測試(Penetration Test)才比較有機會找到這類的弱點,但往往需要長時間、高頻率的
檢測,也高度仰賴滲透測試工程師的功力,難度相當高。
問題點主要就兩個
1.薪資系統放DMZ區,開放外網連結
2.報表檔有連結即可下載,沒有像一般系統一定要登入檢查權限
--
Tags:
公職
All Comments
By Emma
at 2017-01-12T00:02
at 2017-01-12T00:02
By Olga
at 2017-01-15T07:06
at 2017-01-15T07:06
By Queena
at 2017-01-15T11:37
at 2017-01-15T11:37
By Brianna
at 2017-01-20T03:23
at 2017-01-20T03:23
By Frederica
at 2017-01-20T12:34
at 2017-01-20T12:34
Related Posts
年輕公教諷李來希「繳少卻吃肉」
By Yuri
at 2017-01-11T17:54
at 2017-01-11T17:54
老學長說了這句話 讓基層警察好想哭
By Emma
at 2017-01-11T00:01
at 2017-01-11T00:01
原住民族工作權保障法代金繳納問題
By Vanessa
at 2017-01-10T21:24
at 2017-01-10T21:24
補助相關規定適用疑義
By Damian
at 2017-01-10T20:26
at 2017-01-10T20:26
開放政府徵熱血鄉民實現 唐鳳:我沒換腦
By Hedwig
at 2017-01-10T20:17
at 2017-01-10T20:17