http://www.libertytimes.com.tw/2006/new/nov/21/today-life4.htm 大三生与高三生 两人联手入侵 〔记者黄敦砚、袁世忠／台北报导〕台湾最大部落格网站「无名小站」发生会员资料外泄 事件！刑事警察局侦九队三组查获由东海大学大三陈姓学生与洪姓高三生组成的骇客集团 ，以「ＸＳＳ漏洞」方式入侵无名小站。 中国骇客竟仿效 连结下载个资 警方已将两人先以妨害电脑使用罪嫌送办。不过，他们的手法似已引发中国骇客仿效，将 取得的个人资料贴在中国的网站上，甚至还提供一个档案连结，让网友可以下载他所抓得 的部分无名小站用户资料。 「无名小站」存有近两百万会员个人档案的资料库，因此成为骇客练功的最爱之一。警方 发现陈某涉嫌以「ＸＳＳ漏洞」方式入侵无名小站，同时还在台湾骇客年会发表专题时， 发表自己入侵无名小站的方法与骇客分享。 钻ＸＳＳ漏洞 侵30余学校企业 警方也发现，化名「bf」（black farmer）的陈姓大学生（二十一岁）与化名「IK」的洪 姓少年共同成立骇客网站，改写中国骇客撰写的骇客程式，入侵国内包括中原、实践、逢 甲等三十多所学校与企业的电脑主机，偷取大批个人资料及商业机密，再於网站上大肆炫 耀，还有不少学校的电脑社团都会找陈某（bf）去演讲。 这些遭窃的会员资料部分已流传到中国大陆；一名昵称「黑雨天使」的网友，就在中国一 个以骇客为主题的网路论坛上发表「号称台湾最大Blog站点（无名小站）存在严重ＸＳＳ 漏洞」文章，指出他在无意间测试台湾无名小站，没想到「如此的烂，没几下子就搞定了 」！ 他甚至还提供一个档案连结，让网友可以下载他所抓得的部分无名小站用户资料，包括真 实姓名、联络电话、通讯地址、职业收入等，一览无遗。 这篇文章贴出三天来，已经有近两百人浏览，该网站主要是讨论骇客技术、发表被骇网站 为主。 警方表示，由於bf曾在骇客论坛上发表入侵无名小站的经过，可能因此有中国骇客仿效入 侵。 -------------------------------------------------------------------------------- 无名小站：被窃资料仅13笔 与骇客激战十多分钟 〔记者袁世忠／台北报导〕无名小站昨日证实，会员资料库确实在今年八月间遭骇客入侵 ，窃走部分资料，当初因为工作人员发现後，和对方在网路上展开十几分钟的攻防，最後 终於逼退对方，初步统计仅有十三笔资料在过程中被窃走，站方在这次教训後，就立刻修 补系统漏洞。 无名小站董事长林弘全表示，事情发生当时就已向检调单位报案，也已锁定两名特定人选 ，但并没有马上通知个人资料遭窃的当事人，之所以未及时通知会员，主要是因为侦查期 间不公开，为避免打草惊蛇，加上检察官建议先提起告诉，再通知资料被窃者处理後续， 今天将主动通知当事人。 一名资料被骇客公开的杨先生气愤地表示，因为站方规定ＶＩＰ必须留真实的资料，因此 他相当老实地留下个人真实资料，却没想到反遭窃取，虽然到目前为止还没有接到骚扰电 话，但还是很担心资料外泄後的影响，一定要向站方抗议。 林弘全强调，每天都有来自全世界各地的骇客来挑战，但在站方的努力下，都能击退对手 。 无名小站不论付费或一般会员，个人资料保护都是用最高等级，并不会有差异，网友 可以放心使用。 -------------------------------------------------------------------------------- ＸＳＳ 利用程式漏洞抓资料 〔记者郭怡君、袁世忠／台北报导〕针对骇客入侵无名小站部落格窃取个人资料，以扫毒 软体、防火墙程式闻名的趋势公司建议，在确认网站的可靠度前，民众最好别随便留真实 的资料。 趋势科技说，ＸＳＳ这种侵入方式，大约在二○○二年就出现，手法是利用撰写网页的程 式漏洞，植入恶意程式或抓资料，有些也会进入网页後，将连结导入另一个假的网站，不 知情的网友连上後，任何留下的资料都被会骇客接收走，甚至同样被植入後门程式。 由於一般民众难以区别，趋势公司建议，民众最好别随便留真实的资料，另也可以多利用 防护、扫毒软体。 负责建置国家资通安全会报的行政院科技顾问组表示，对於官方网站的防护，近几年已和 中央及地方政府密切保持联系，并且加强教育宣导。 科顾组执行秘书兼发言人汪庭安指出，政府任何机密文件，在电脑上必须做到「实体隔离 」，也就是使用完全不上网的电脑处理机密资料。 汪庭安强调，资讯技术发展日新月异，骇客手法越来越高明，但官方单位维护资通安全的 人力和经费都严重不足，以科顾组的资安小组为例，只有六、七人却要负责帮忙全国资安 事务，防护相当辛苦，亟需立法院和地方议会支持。 -------------------------------------------------------------------------------- 妨害电脑使用罪 刑法第三十六章—第三五八条：无故输入他人帐号密码、破解使用电脑之保护措施或利用 电脑系统之漏洞，而入侵他人之电脑或其相关设备者，处三年以下有期徒刑、拘役或科或 并科十万元以下罚金。 第三六二条：制作专供犯本章之罪之电脑程式，而供自己或他人犯本章之罪，致生损害於 公众或他人者，处五年以下有期徒刑、拘役或科或并科二十万元以下罚金。 -------------------------------------------------------------------------------- 教战守则：勿随便留真实资料 如果担心个人资料遭窃取而泄露，百分之百的安全手法，只有不在网路上留任何正确的资 料。 个人的电脑最好也要安装防护程式，以免遭植入後门程式。 想要加强资讯和网路安全知识的民众，可到科顾组建置的资安健检网站下载： http://www.nicst.nat.gov.tw/event200（整理：记者袁世忠） -------------------------------------------------------------------------------- 小档案：无名小站─国内最大部落格服务网 无名小站创立於一九九九年，由交大资工所简志宇、吴纬凯、林弘全、邱建熹与交大资工 系潘韦丞、陈轩昀等六人在学校内架设成立，一开始仅是ＢＢＳ的功能，後来加上了网路 相簿，并且开放校外人士使用。 由於免费申请使用，迅速获得网友们的青睐，使用人数直线上升，特别是因为许多网友在 相簿中贴美女图片，让人气更是旺上加旺；由於使用学术网路遭到质疑，加上网站流量太 大，让机器故障当机一周，最後在企业的投资下，二○○五年三月脱离学术网路，成立无 名小站股份有限公司。 无名小站目前是台湾最大的提供部落格服务的网站，会员超过一百八十万人，除了免费的 一般会员，还有缴费的ＶＩＰ会员，提供更大的空间、背景音乐与页面没有广告的服务， 也吸引不少影剧、政治人物前来架设部落格，与网友们互动。 之前传出雅虎奇摩有意以七亿元并购，合并案已经送公平会审议，不过，无名小站很低调 ，迄今仍否认。 除了创下许多台湾奇蹟，无名小站也发生不少乌龙。例如无预警以格式化的页面更换使用 者的设定，让许多资深玩家出走；日前创办人之一的吴纬凯以「测试」名义，让另一部落 格、相簿网站PIXNET流量异常两小时，遭到网友挞伐等﹛]整理：记者袁世忠） -- ___ _ __ | _ \___| |/ _| | / _ \ | _| |_|_\___/_|_| 我的情绪发泄所︰http://www.wretch.cc/blog/ccpc1011 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.134.204.12