露天拍賣 真的全都露天了...
 

露天拍賣存在一年以上的資安漏洞，賣家個資全都露！


對比之前看過的另一篇報導：
露天拍賣從開發流程和制度落實安全


好諷刺！

不想猜測這件事之後會怎麼發展，
但無數已經受害的買家和賣家要怎麼舉證要求賠償？

誰來貼一下圖，我只要上完不付錢就不算ㄆㄧㄠˊ囉 :laugh:

看完的感想：真可悲.....

1.他上面有說早就有人(一年前)通知露天這個漏洞，但是露天就是不補，直到他製作公開這影片，露天三小時內就把這漏洞補起來(有沒有補不知道，記者說的)，也就是說露天欠人電

2.影片全英文說明，也就說影片製作者怕被露天告(不然哪個外國人這麼閒到台灣小小的平台網站測試它萬年不補的漏洞)，推測露天寧可告人也不願意檢討自己的錯誤，這種漏洞要是早被抓出來露天早就被告到死了，更不用說商譽損失

3.這漏洞早發現但遲遲不補，說不定這原本就是製作者的後門，專門盜賣資料給詐騙集團的???


看到這漏洞使用方式，突然讓我想到之前艦娘跟PROXY的關係(用PROXY時有可能不用帳密自動登入別人的艦娘帳號)

能不用沒屋頂就盡量不要用沒屋頂吧！我很怕這種的東西。

一個2000萬人口以上的國家
竟然連個像樣的拍賣平台都做不出來
笑破人的嘴

台灣兩個拍賣對詐騙部份都不作為
只有收錢很快
老是推說你使用者問題

會覺得諷刺，那是因為你對這方面資安問題了解不多
因為有漏洞跟重視資安，這兩件事並不衝突
可以同時存在
還是你認為有軟體可以一直更新增加新功能
然後什麼bug或漏洞都沒有的吧？



1. 其實這也沒什麼，稱不上可悲不可悲
這本來就是淺規則，被公布的漏洞本來就是必須補
這種事情其實經常在發生
Google, MS, Facebook, APPLE處理這種問題的時候
跟露天其實沒有太大的差別

漏洞不是一定都要補的，有些根本就是垃圾漏洞
利用率低，只能在特定場合用作技術火力展示
實際上你上報了，由於利用率低所以通常是不會修補的
例如微軟每個月第二個星期的星期二發佈的那些安全更新
幾乎都是這種東西，今天發現下個月我再補也不會讓用戶造成損失
只要利用率高，能夠立既造成危害的超高危漏洞
才會在第一時間修補，這種超高危漏洞
通常我前述的那些廠商，一年被發現很難超過20個
一般在10個以內，微軟windows今年至今也只有一個

2. 這也跟商譽沒啥關係，如果這種事情真的那麼嚴重
那微軟跟蘋果早就該勒令關門了

這種會需要到錄影才能告知危險性的
通常利用率都很低，能夠發現這種漏洞問題的人在這個世界上少之又少
以影片作者Zhi-Wei Cai這個人來說，他本身就是世界級的頂尖駭客
那種利用率高的漏洞，通常只要放出攻擊代碼，或僅需要口頭描述
一般不太需要中高程度的程式人員就可以執行

之前facebook ceo馬克祖克伯也發生一件類似的事情
就是有人發現一個可以冒名亂發文在被冒充用戶的塗鴉牆的漏洞
也公開了這個漏洞，馬克祖克伯覺得這漏洞利用率低，並沒有特別重視
後來這個人就冒用了祖克伯的身分在他的塗鴉牆上貼文
然後這個漏洞很快就被修復了


3. 這種用看的就知道不會是刻意製造的漏洞
賣給詐騙集團也要有人會用才有用
不然你照他的影片你自己來做做看

照這樣看來
只能說個資外洩
是那些會員自己的錯
誰叫你選擇了露天
最好自認倒楣
別再鬼叫鬼叫的...
反正你又拿他沒折

露天個資外洩真的太嚴重了
幾乎買過的都接到過詐騙電話
想想還是別用的好
大家說好不好... :agree:

我前面寫那堆看來都是廢話
會做這樣的結論還真是讓我匪夷所思

那根本就是兩回事
不要什麼問題都混在一起
然後罵就對了
就算露天不賣資料
我也不用去找啥漏洞，我透過其他手法
間接取得你的個資，那也不是什麼多難度的事情

主要是台灣人普遍資安程度低落
跟教育程度完全不成正比
是我看過資安觀念最差的國家
就連左岸那些中國人
資安觀念普遍都贏過台灣人一截

嗯，真的是廢話