Re: [Vtub] VSPO對個資流出事件的報告
作者: seer2525 (冠軍都是一場夢) 2024-06-26 00:20:05
看上一篇推文感覺很多人被krkr那篇誤導了 我自己看了一遍也發現我也搞錯了
krkr的推文跟官方公告有些出入
krkr的推文是說只要用google帳號進入應徵頁面後 你就會得到編輯表單資料的權限
BG的公告表示表單的資料設定是「只公開給知道連結的人」
表單的設定並沒有被改成全公開 所以一般人是進不去表單資料 也看不到表單資料的
而公開的應徵網址和編輯用的網址是不同的 進到應徵頁面也不會得到編輯權限
以google表單的邏輯來說krkr講得不太合理 有用過google表單的應該知道
表單跟後台編輯的網址是不同的
而且google表單沒有「填表單就能獲與權限」這種設定 這點官方公告比較合理
我剛剛自己也拿以前做的表單試了一遍 的確「給人填寫」跟「編輯+後台資料」兩個是
不同的網址 設定也沒有什麼用google帳號登入就能讀取的設定
編輯存取權也只有白名單和連結這兩個選項
而以官方那邊檢查得出的結果 沒有查到有給予外部帳號權限的紀錄
所以得出最有可能的兩個結果是
1.不正當的存取 有可能像是爬蟲之類的方法爬到這個網址
2.某種原因這個連結被傳到了外部第三者
而不只VSPO的表單有流出 BG的其他子公司項目也有查出流出問題
所以...除非有人爬蟲這麼厲害一次就爬到了BG底下這麼多個項目表單的連結...
不然也只有BG內部流出這個可能了
VSPO內部人員流出的話 除非這個人是營運1(社長)等級
不然不可能連BG其他子公司項目的連結也能夠取得
另外這些蒐集了上萬人的個資表單權限設定居然是用只要知道連結就能讀取的IT恐怖故事
我自己猜想VSPO原本表單設定應該就是白名單沒有錯 畢竟原本VSPO事務所裡面人就很少
只是設定個白名單不會麻煩到哪裡去 在這之前也沒有出過這種問題
但後來被BG收購後 人員擴增 還需要向BG共享資料 有太多社員需要存取
所以就將設定改成了連結...就這樣到了現在出了大包
我只能說 營運1你努力了這麼多年 做了最大 也是唯一一個錯誤的決定 就是讓BG收購...
krkr的推文跟官方公告有些出入
krkr的推文是說只要用google帳號進入應徵頁面後 你就會得到編輯表單資料的權限
BG的公告表示表單的資料設定是「只公開給知道連結的人」
表單的設定並沒有被改成全公開 所以一般人是進不去表單資料 也看不到表單資料的
而公開的應徵網址和編輯用的網址是不同的 進到應徵頁面也不會得到編輯權限
以google表單的邏輯來說krkr講得不太合理 有用過google表單的應該知道
表單跟後台編輯的網址是不同的
而且google表單沒有「填表單就能獲與權限」這種設定 這點官方公告比較合理
我剛剛自己也拿以前做的表單試了一遍 的確「給人填寫」跟「編輯+後台資料」兩個是
不同的網址 設定也沒有什麼用google帳號登入就能讀取的設定
編輯存取權也只有白名單和連結這兩個選項
而以官方那邊檢查得出的結果 沒有查到有給予外部帳號權限的紀錄
所以得出最有可能的兩個結果是
1.不正當的存取 有可能像是爬蟲之類的方法爬到這個網址
2.某種原因這個連結被傳到了外部第三者
而不只VSPO的表單有流出 BG的其他子公司項目也有查出流出問題
所以...除非有人爬蟲這麼厲害一次就爬到了BG底下這麼多個項目表單的連結...
不然也只有BG內部流出這個可能了
VSPO內部人員流出的話 除非這個人是營運1(社長)等級
不然不可能連BG其他子公司項目的連結也能夠取得
另外這些蒐集了上萬人的個資表單權限設定居然是用只要知道連結就能讀取的IT恐怖故事
我自己猜想VSPO原本表單設定應該就是白名單沒有錯 畢竟原本VSPO事務所裡面人就很少
只是設定個白名單不會麻煩到哪裡去 在這之前也沒有出過這種問題
但後來被BG收購後 人員擴增 還需要向BG共享資料 有太多社員需要存取
所以就將設定改成了連結...就這樣到了現在出了大包
我只能說 營運1你努力了這麼多年 做了最大 也是唯一一個錯誤的決定 就是讓BG收購...
作者: fish7333 (魚條) 2024-06-26 00:21:00
熟悉的BG最對味
作者: Y1999 (秋雨) 2024-06-26 00:22:00
有BG味了
作者: LoKingSer (魯王蛇) 2024-06-26 00:23:00
第3大箱要炸掉了嗎?
作者: amd7356 (哭哭喔) 2024-06-26 00:25:00
就有些人在吹KR趁機對VSPO落井下石 結果出爐是BG的鍋
作者: tsubasa0922 (翅膀一串數) 2024-06-26 00:27:00
就微妙,但能變成這樣也是因為收購了有資金能這樣玩
作者: memep7 (:D) 2024-06-26 00:27:00
看到現在 真的傻眼到不知道該說什麼
作者: Armour13 (鎧甲) 2024-06-26 00:27:00
不過這麼長時間都沒有流出,說不定沒人備分?
作者: Y1999 (秋雨) 2024-06-26 00:28:00
KR:我以為VSPO外洩已經夠扯,沒想到還有更扯的
作者: tsubasa0922 (翅膀一串數) 2024-06-26 00:28:00
3D各種活動什麼的,vspo固然大但資金轉不過來也很難幹大事
作者: amd7356 (哭哭喔) 2024-06-26 00:30:00
內鬼的可能性比較大 就上面有人提到這麼長時間早就流出點東西了 整件事情到現在還是不清楚是怎樣
作者: dinosd2 (...) 2024-06-26 00:30:00
BG搞不好還要感謝kr出來爆料才知道外洩事件這麼大一條
作者: mk4188623 (MK) 2024-06-26 00:30:00
果然是你阿BG
作者: j022015 ( ˊ ﹀ˋ) 2024-06-26 00:30:00
這一波如果處理不好 很難爬起來了
作者: tom11725 (奧特斯) 2024-06-26 00:36:00
好不容易能挖一波V圈大料這還不大炒一番
作者: alan3100 (BOSS) 2024-06-26 00:36:00
公告只說設定錯誤的表單不只一個 不代表其他表單有被外流,但肯定是公司內部菜鳥到不知道該設定權限另外自己試是看不到檔案是否被他人訪問過,不確定企業版又沒有功能可以看如果google沒提供這功能那資料有沒有被外人偷都不知道
作者: PROMAC (安) 2024-06-26 00:44:00
搞不好類似這樣外洩的 http://i.imgur.com/RRmDkwe.jpg
作者: alan3100 (BOSS) 2024-06-26 00:45:00
“知道連結就可以存取”就是設定錯誤
作者: dragon803 (wet) 2024-06-26 00:46:00
推澄清
作者: alan3100 (BOSS) 2024-06-26 00:47:00
白名單是除了要知道連結還要帳號驗證才能存取,這是網路資安基本常識放在Google doc預設是白名單才能存取,一定是公司內部人手賤改成公開不然哪有那麼多名單都不小心設定錯誤
作者: keyofdejavu (海洋) 2024-06-26 00:51:00
你真別說,搞不好這名單一開始就是公開的不是什麼手賤改的
作者: johnny3 (キラ☆) 2024-06-26 00:53:00
搞不好一直都是知道連結就能連 只是都在公司內部用
作者: yuniko98k (小守護進程-墮天型態) 2024-06-26 00:54:00
但這樣從以前都沒被爆過是真的很神奇
作者: seer2525 (冠軍都是一場夢) 2024-06-26 00:55:00
我自己是猜測被BG收購前還是用白名單啦 人那麼少沒必要嫌麻煩
作者: qoos0620 2024-06-26 00:55:00
說白了 不管是改權限還是外流網址 內部人員的可能性太大
作者: yuniko98k (小守護進程-墮天型態) 2024-06-26 00:56:00
也有個可能是本來就這樣 但內部員工看不下去 反應給公司也不改 所以就找krkr爆料
作者: Landius (原來我是漆原派啊) 2024-06-26 00:58:00
今年第二起恐怖IT故事了嗎...
作者: alan3100 (BOSS) 2024-06-26 01:05:00
剛剛連建立表單都試了一次 確定預設是白名單不是全公開就這公司連基本資安不知道 還公告說權限設定沒問題XD
作者: generic (generic) 2024-06-26 01:10:00
發現問題的應該就應徵者之一吧 把聯結給人就可以存取
作者: alan3100 (BOSS) 2024-06-26 01:10:00
白名單訪問也是透過連結呀 只是你要登入且要是白名單內會這樣回就是不懂雲端本質
作者: qoos0620 2024-06-26 01:11:00
應徵者要發現問題 那只能是表單本來就是全公開 但官方公告是沒有把權限用全公開過
作者: alan3100 (BOSS) 2024-06-26 01:12:00
你可以自己驗證白名單 另開無痕用相同連結就知道差異了
作者: qoos0620 2024-06-26 01:17:00
企業版的設定 應該跟一般帳號有些不同 企業版的表單說不定是可以把表單設定知道連結才能看 就跟官方公告說得一樣
作者: kids23 (阿年) 2024-06-26 01:18:00
推查證
作者: alan3100 (BOSS) 2024-06-26 01:18:00
googledoc上傳後就有一個連結 不是你透過設定成連結只是UI讓你複製該檔案原本就有連結不信你自己打開檔案 看url跟你按下共用複製出來是同一個
作者: MoonSkyFish (月天魚) 2024-06-26 01:26:00
是vspo還是bg的鍋有差嗎?還能把自己摘出去的啊?
作者: alan3100 (BOSS) 2024-06-26 01:28:00
沒人管krkr講啥拉 就權限設定隨便,改用下面那個就炸鍋了
作者: ssize (咖) 2024-06-26 01:28:00
看養資訊人員到什麼程度阿 一般沒在養資訊的表單還不是丟給人資自己做 哪有什麼正確的資安概念 都馬方便行事
作者: chatoff (謎) 2024-06-26 01:28:00
有沒有可能 BG的人員當初就是自己設定公開..應徵的人多審核的人也多 就懶得設定白名單 天真的覺得連結都內部用不會流出去就沒事..就像上面說的 人資自己弄表單 非資訊人員根本沒想這麼多
作者: alan3100 (BOSS) 2024-06-26 01:30:00
不管是問卷還是連結到試算表 預設都是白名單,偷改就出事
作者: chatoff (謎) 2024-06-26 01:31:00
說不定根本不是偷改 就嫌麻煩當初就直接設公開
作者: alan3100 (BOSS) 2024-06-26 01:32:00
是覺得公司不算小了 一個員工就能出包沒人發現有點嚴重
作者: ssize (咖) 2024-06-26 01:33:00
不然資訊人員出這麼基礎的包資訊主管還不電到飛起來
作者: chatoff (謎) 2024-06-26 01:34:00
擴展太快 內部監管制度跟不上吧
作者: digitai1 (大摳) 2024-06-26 01:34:00
同chat 就圖個傳檔 工作方便打開 覺得不會怎樣然後 萬萬沒想到 如此而已
作者: asasas0723 (as) 2024-06-26 01:35:00
我一直以來都覺得被BG收購是件壞事
作者: joe128135 (待轉職的魔法師) 2024-06-26 01:36:00
這種傻眼到可笑的感覺 是我熟悉的BG
作者: seer2525 (冠軍都是一場夢) 2024-06-26 01:41:00
現在最大的問題應該是連結怎麼洩漏出去的 最有可能的就是內鬼
作者: qoos0620 2024-06-26 01:45:00
官方公告沒問題的話 爆料給krkr的人也是很鬼 能拿到內部連結
作者: dos01 (朵斯01) 2024-06-26 01:56:00
這家很有可能根本沒資訊部門 雖然好像錢很多可以買一堆人
作者: alan3100 (BOSS) 2024-06-26 01:56:00
我查google drive api好像有搜尋功能..所以也許爬蟲容易
作者: e3633577 (莫言默與) 2024-06-26 01:59:00
從和BG合併的那天就在想會不會又出大包的一天,畢竟
作者: h0103661 (路人喵) 2024-06-26 02:14:00
kr原文沒寫錯啊
作者: pal1231 (御龜神) 2024-06-26 05:53:00
基本資安問題也搞不定 VSPO要成為齁虹一樣的大公司還有很長的路要走
作者: abc14455 (SoPoor) 2024-06-26 05:58:00
這樣看營運1真的很抗,出問題都不是他但解決問題他一個人頂他真的是少數底下的員工願意相信的高層
作者: seer2525 (冠軍都是一場夢) 2024-06-26 08:59:00
https://i.imgur.com/ZvgvMwI.jpeg kr第一句就有問題了啊 哪裡沒錯
作者: gn00851667 (唯有湛藍) 2024-06-26 09:50:00
看看您寫的第3和第4句 有沒有種可能...他說的就是知道連結之後...而不是指公開的招募
作者: seer2525 (冠軍都是一場夢) 2024-06-26 09:54:00
呃...他的原文就是「用google帳號進入應徵表單」這樣而已並沒有說是編輯頁面 他就是說應徵表單推特上也有不少人質疑這點有問題 明顯就是krkr的說法有問題
