Re: [Vtub] VSPO對個資流出事件的報告

fish733306/26 00:21熟悉的BG最對味

Y199906/26 00:22有BG味了

LoKingSer06/26 00:23第３大箱要炸掉了嗎？

amd735606/26 00:25就有些人在吹KR趁機對VSPO落井下石 結果出爐是BG的鍋

tsubasa092206/26 00:27就微妙，但能變成這樣也是因為收購了有資金能這樣玩

memep706/26 00:27看到現在 真的傻眼到不知道該說什麼

Armour1306/26 00:27不過這麼長時間都沒有流出，說不定沒人備分?

Y199906/26 00:28KR:我以為VSPO外洩已經夠扯，沒想到還有更扯的

tsubasa092206/26 00:283D各種活動什麼的，vspo固然大但資金轉不過來也很難

tsubasa092206/26 00:28幹大事

amd735606/26 00:30內鬼的可能性比較大 就上面有人提到這麼長時間早就流出點

amd735606/26 00:30東西了 整件事情到現在還是不清楚是怎樣

dinosd206/26 00:30BG搞不好還要感謝kr出來爆料才知道外洩事件這麼大一條

mk418862306/26 00:30果然是你阿BG

j02201506/26 00:30這一波如果處理不好 很難爬起來了

amd735606/26 00:30網路這麼多樂子人 看到有V個資流出還不第一時間給你爆料

tom1172506/26 00:36好不容易能挖一波V圈大料這還不大炒一番

alan310006/26 00:36公告只說設定錯誤的表單不只一個 不代表其他表單有被外

alan310006/26 00:36流，但肯定是公司內部菜鳥到不知道該設定權限

alan310006/26 00:37另外自己試是看不到檔案是否被他人訪問過，不確定企業

alan310006/26 00:37版又沒有功能可以看

alan310006/26 00:38如果google沒提供這功能那資料有沒有被外人偷都不知道

PROMAC06/26 00:44搞不好類似這樣外洩的 http://i.imgur.com/RRmDkwe.jpg

alan310006/26 00:45“知道連結就可以存取”就是設定錯誤

dragon80306/26 00:46推澄清

alan310006/26 00:47白名單是除了要知道連結還要帳號驗證才能存取，這是網

alan310006/26 00:47路資安基本常識

alan310006/26 00:50放在Google doc預設是白名單才能存取，一定是公司內部人

alan310006/26 00:50手賤改成公開

alan310006/26 00:50不然哪有那麼多名單都不小心設定錯誤

keyofdejavu06/26 00:51你真別說，搞不好這名單一開始就是公開的

keyofdejavu06/26 00:51不是什麼手賤改的

johnny306/26 00:53搞不好一直都是知道連結就能連 只是都在公司內部用

yuniko98k06/26 00:54但這樣從以前都沒被爆過是真的很神奇

seer252506/26 00:55我自己是猜測被BG收購前還是用白名單啦 人那麼少沒必要

seer252506/26 00:55嫌麻煩

qoos062006/26 00:55說白了 不管是改權限還是外流網址 內部人員的可能性太大

yuniko98k06/26 00:56也有個可能是本來就這樣 但內部員工看不下去 反應給公

yuniko98k06/26 00:56司也不改 所以就找krkr爆料

Landius06/26 00:58今年第二起恐怖IT故事了嗎...

alan310006/26 01:05剛剛連建立表單都試了一次 確定預設是白名單不是全公開

alan310006/26 01:06就這公司連基本資安不知道 還公告說權限設定沒問題XD

generic06/26 01:10發現問題的應該就應徵者之一吧 把聯結給人就可以存取

alan310006/26 01:10白名單訪問也是透過連結呀 只是你要登入且要是白名單內

alan310006/26 01:11會這樣回就是不懂雲端本質

qoos062006/26 01:11應徵者要發現問題 那只能是表單本來就是全公開 但官方公

qoos062006/26 01:12告是沒有把權限用全公開過

alan310006/26 01:12你可以自己驗證白名單 另開無痕用相同連結就知道差異了

qoos062006/26 01:17企業版的設定 應該跟一般帳號有些不同 企業版的表單說不

qoos062006/26 01:17定是可以把表單設定知道連結才能看 就跟官方公告說得一

qoos062006/26 01:17樣

kids2306/26 01:18推查證

alan310006/26 01:18googledoc上傳後就有一個連結 不是你透過設定成連結

alan310006/26 01:20只是UI讓你複製該檔案原本就有連結

alan310006/26 01:22不信你自己打開檔案 看url跟你按下共用複製出來是同一個

MoonSkyFish06/26 01:26是vspo還是bg的鍋有差嗎？還能把自己摘出去的啊？

alan310006/26 01:28沒人管krkr講啥拉 就權限設定隨便,改用下面那個就炸鍋了

ssize06/26 01:28看養資訊人員到什麼程度阿 一般沒在養資訊的表單還不是丟給

ssize06/26 01:28人資自己做 哪有什麼正確的資安概念 都馬方便行事

chatoff06/26 01:28有沒有可能 BG的人員當初就是自己設定公開..應徵的人多

chatoff06/26 01:29審核的人也多 就懶得設定白名單 天真的覺得連結都內部用

chatoff06/26 01:29不會流出去就沒事..

chatoff06/26 01:30就像上面說的 人資自己弄表單 非資訊人員根本沒想這麼多

alan310006/26 01:30不管是問卷還是連結到試算表 預設都是白名單,偷改就出事

chatoff06/26 01:31說不定根本不是偷改 就嫌麻煩當初就直接設公開

alan310006/26 01:32是覺得公司不算小了 一個員工就能出包沒人發現有點嚴重

ssize06/26 01:33不然資訊人員出這麼基礎的包資訊主管還不電到飛起來

chatoff06/26 01:34擴展太快 內部監管制度跟不上吧

digitai106/26 01:34同chat 就圖個傳檔 工作方便打開 覺得不會怎樣

digitai106/26 01:34然後 萬萬沒想到 如此而已

chatoff06/26 01:34說不定就單純人資部門自己瞎搞 根本也沒資訊部門什麼事

asasas072306/26 01:35我一直以來都覺得被BG收購是件壞事

joe12813506/26 01:36這種傻眼到可笑的感覺 是我熟悉的BG

seer252506/26 01:41現在最大的問題應該是連結怎麼洩漏出去的 最有可能的就

seer252506/26 01:41是內鬼

qoos062006/26 01:45官方公告沒問題的話 爆料給krkr的人也是很鬼 能拿到內部

qoos062006/26 01:45連結

dos0106/26 01:56這家很有可能根本沒資訊部門 雖然好像錢很多可以買一堆人

alan310006/26 01:56我查google drive api好像有搜尋功能..所以也許爬蟲容易

dos0106/26 01:56可是內部一團亂

e363357706/26 01:59從和BG合併的那天就在想會不會又出大包的一天，畢竟

h010366106/26 02:14kr原文沒寫錯啊

pal123106/26 05:53基本資安問題也搞不定 VSPO要成為齁虹一樣的大公司還有

pal123106/26 05:53很長的路要走

abc1445506/26 05:58這樣看營運1真的很抗，出問題都不是他

abc1445506/26 05:58但解決問題他一個人頂

abc1445506/26 05:59他真的是少數底下的員工願意相信的高層

seer252506/26 08:59https://i.imgur.com/ZvgvMwI.jpeg kr第一句就有問題了

seer252506/26 08:59啊 哪裡沒錯

gn0085166706/26 09:50看看您寫的第3和第4句 有沒有種可能...

gn0085166706/26 09:50他說的就是知道連結之後...而不是指公開的招募

seer252506/26 09:54呃...他的原文就是「用google帳號進入應徵表單」這樣而

seer252506/26 09:54已

seer252506/26 09:55並沒有說是編輯頁面 他就是說應徵表單

seer252506/26 09:55推特上也有不少人質疑這點有問題 明顯就是krkr的說法有

seer252506/26 09:55問題