7萬公務員薪資帳戶外洩 北市資訊局竟不知 - 公職

IThome這篇解釋的蠻清楚的
http://www.ithome.com.tw/news/111107

以下截取重點


到底外洩的資料是什麼？李維斌指出，目前臺北市資訊局調查的結果，大約有190筆的薪
資報表的連結外洩，不過每筆報表的受影響人數並不確定，但可以確定的是，臺北市府員
工的薪資資料庫並沒有外洩。

李維斌進一步解釋，這些外洩的資料其實是由出納人員製作的當月薪資報表，以往只有各
單位特定人員，有權連上這個放在DMZ區的薪資發放管理系統，輸入帳號密碼後，可以調
閱內網員工薪資資料做成當月薪資報表後，報表完成會就會產生一個報表連結，有這個報
表連結的人就可以下載該份薪資報告。

他也說，以往資訊局把有這個報表連結的人，視為是內部人士才可能有這個連結，所以，
以前是有連結的人，可以直接下載該檔案，「這是一個內部系統存取權限設定錯誤的案例
，才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋，這是一種所謂的商業邏
輯錯誤（Business Logic Fault），是一種作業流程或程式邏輯出現的錯誤，目前用工具
的弱點掃描（Vulnerability Assessment ）並無法檢測出這類的漏洞，依賴人工的滲透
測試（Penetration Test）才比較有機會找到這類的弱點，但往往需要長時間、高頻率的
檢測，也高度仰賴滲透測試工程師的功力，難度相當高。


問題點主要就兩個
1.薪資系統放DMZ區，開放外網連結
2.報表檔有連結即可下載，沒有像一般系統一定要登入檢查權限
--