看上一篇推文感覺很多人被krkr那篇誤導了 我自己看了一遍也發現我也搞錯了
krkr的推文跟官方公告有些出入
krkr的推文是說只要用google帳號進入應徵頁面後 你就會得到編輯表單資料的權限
BG的公告表示表單的資料設定是「只公開給知道連結的人」
表單的設定並沒有被改成全公開 所以一般人是進不去表單資料 也看不到表單資料的
而公開的應徵網址和編輯用的網址是不同的 進到應徵頁面也不會得到編輯權限
以google表單的邏輯來說krkr講得不太合理 有用過google表單的應該知道
表單跟後台編輯的網址是不同的
而且google表單沒有「填表單就能獲與權限」這種設定 這點官方公告比較合理
我剛剛自己也拿以前做的表單試了一遍 的確「給人填寫」跟「編輯+後台資料」兩個是
不同的網址 設定也沒有什麼用google帳號登入就能讀取的設定
編輯存取權也只有白名單和連結這兩個選項
而以官方那邊檢查得出的結果 沒有查到有給予外部帳號權限的紀錄
所以得出最有可能的兩個結果是
1.不正當的存取 有可能像是爬蟲之類的方法爬到這個網址
2.某種原因這個連結被傳到了外部第三者
而不只VSPO的表單有流出 BG的其他子公司項目也有查出流出問題
所以...除非有人爬蟲這麼厲害一次就爬到了BG底下這麼多個項目表單的連結...
不然也只有BG內部流出這個可能了
VSPO內部人員流出的話 除非這個人是營運1(社長)等級
不然不可能連BG其他子公司項目的連結也能夠取得
另外這些蒐集了上萬人的個資表單權限設定居然是用只要知道連結就能讀取的IT恐怖故事
我自己猜想VSPO原本表單設定應該就是白名單沒有錯 畢竟原本VSPO事務所裡面人就很少
只是設定個白名單不會麻煩到哪裡去 在這之前也沒有出過這種問題
但後來被BG收購後 人員擴增 還需要向BG共享資料 有太多社員需要存取
所以就將設定改成了連結...就這樣到了現在出了大包
我只能說 營運1你努力了這麼多年 做了最大 也是唯一一個錯誤的決定 就是讓BG收購...