作者spotH (spot)
站內e-shopping
標題[抱怨] 使用一路發,個資洩光光
時間Mon Jun 7 13:48:00 2010
※ 一路發是上海捷盟、上海申盟主要配合快遞(除了台東台南會發日通)
※ 上海斌悅也有部分配合一路發,建議集貨前先問清楚
我很猶豫要不要寫這篇,寫出來就代表
每個曾經使用過一路發的人都能看到其他人的資料,(這是保守說法)
但跟他們客服反應後他堅持網管人在國外不能處理,要等一星期,
請大家幫幫忙,現在就拿起電話,撥打02-8531-5631,
要求他們
立即移除查詢連結並改善查詢系統! 最近買了淘寶的東西,常上一路發的網頁查詢,
在「貨件追蹤查詢」欄位中有「簽收影像」查詢,
一時的好奇鍵入以往的包裹編號,果然出現簽單圖檔。
開始只是覺得好玩而已,如果把單號輸入成....會發生什麼事呢?
於是,出現了別人的個人資料。
我整個背脊都涼了。
先說一般「進口單號查詢」,會洩漏的資訊有
「日期、姓名、地址」
簽單圖檔更糟,會洩漏的資訊有
「姓名、電話、地址、內容物、簽名、公司/學校/管委會印章」
說一下一路發的查詢系統:
1.單純貨號查詢不應揭露姓名地址
在我印象中寫出發地、目的地、頂多再姓氏(ex.王**)就可以了
把姓名地址大剌剌的作為被查詢的資訊,網購這麼多年了,還沒遇過哪家快遞這麼做
2.簽單圖檔查詢搜尋條件應使用多重關鍵字、或建立帳號密碼系統
以新竹貨運為例:簽單圖檔查詢必須輸入「寄件者電話、單號、收件者姓名」
才可查詢,一路發....只要單號
只要單號
只要單號
就能查詢!
詐騙快來喔~這裡有一批不用錢的個資呀~ 3.查詢結果網址淺顯易懂
一路發網頁的「查詢結果網址」和「單號」有很大的相關性,而且沒有編碼,
可用批次處理程式大量下載
4.沒有擋IP
一些入口網站發現同一台電腦不停的發出request,會暫停該台電腦的使用,
但一路發的網頁完全不用擔心這個問題,可以查詢到天荒地老都沒有人阻止你
3、4是我想測一路發網頁有多不安全實作的結果,這是很容易寫好的小程式,
完全稱不上「破解」,因為根本沒有需要「破」跟「解」的地方,
如果駭客的行為比喻為「小偷」、簡單的密碼比喻為「沒鎖門」,
那一路發的查詢網頁叫做「門忘了關」
我邊看document花半天就完成了,高手應該不用一小時吧...
我在PttLifeLaw版詢問相關法條,h大回答民法18條,列在下面給大家參考:
第 18 條
(人格權之保護)
人格權受侵害時,得請求法院除去其侵害;有受侵害之虞時,得請求防止之。
前項情形,以法律有特別規定者為限,得請求損害賠償或慰撫金。
如果還有其他缺漏的,拜託大家幫忙補充。
最後提醒:在一路發查詢網頁有改善之前先暫停使用,避免個資外洩。 --
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.10.83.148
→ lostever:雖然我本來就覺得一路發的網站資安做得很114.198.191.254 06/07 13:56
→ lostever:爛,沒想到會爛成這樣。另,個人覺得把方114.198.191.254 06/07 13:57
→ lostever:法直接寫出來不是很妥當...<囧>114.198.191.254 06/07 13:58
嗯,改成比較隱晦的講法
推 looopix:太誇張了吧,上海捷盟可以配合其他廠商嗎? 114.38.107.146 06/07 13:58
→ nora119:如果配合其他廠商 就會變貴吧。一路發就是 218.165.78.200 06/07 14:00
→ nora119:主打便宜.... 218.165.78.200 06/07 14:01
※ 編輯: spotH 來自: 124.10.83.148 (06/07 14:03)
推 shanna80099:讓我覺得很傻眼....140.125.237.217 06/07 14:05
推 makibaby:之前就有發現了...140.116.108.198 06/07 14:08
→ makibaby:很多代買會把集貨單號KEY在GOOGLE表單上140.116.108.198 06/07 14:08
→ makibaby:所以單號其實很簡單就可以得到→很簡單得140.116.108.198 06/07 14:09
→ makibaby:到個資140.116.108.198 06/07 14:09
推 lostever:另外,簽單圖檔的部份其實順豐也是差不多114.198.191.254 06/07 14:09
→ lostever:只是順豐需要輸入收件人的電話&查詢頁面114.198.191.254 06/07 14:10
→ lostever:不會直接顯示個資 這部份其實順豐好很多114.198.191.254 06/07 14:11
推 lalasho:所以沒單號就查不到個資了 是這樣嗎? 61.62.109.54 06/07 14:13
→ arisalisa:可以從一個單號猜到其他人單號喔 61.57.156.206 06/07 14:31
→ arisalisa:真的還蠻方便詐騙亂槍打鳥的.... 61.57.156.206 06/07 14:32
推 tzou09:剛打電話去~還浪費了我5分鐘的手機費~ 219.84.6.100 06/07 16:17
→ tzou09:客服小姐一直鬼打牆說誰會去看~ 219.84.6.100 06/07 16:17
→ tzou09:公司開那麼久從沒人抱怨過~ 219.84.6.100 06/07 16:17
→ tzou09:建議他加個電話欄位~還說這要叫大陸那邊改 219.84.6.100 06/07 16:18
→ tzou09:168真的很差勁~ 219.84.6.100 06/07 16:19
推 k750118:寄過一次就有發現這問題了..有心人士要拿 114.27.62.233 06/07 16:45
→ k750118:資料真的輕而易舉... 114.27.62.233 06/07 16:46
推 tomoya0711:一路發也常常把地址跟收件人key錯..125.224.164.108 06/07 22:31
推 pinkle25:報給消保會 XD 59.117.116.1 06/08 00:04
推 jingkis:用過很多次了 沒有發現耶...好可怕>"< 210.66.168.55 06/08 00:27
推 julie80277:用好幾次了,都沒注意到這一點,好可怕 210.60.249.253 06/08 13:26
推 Asti:我年初請的那位代集貨就是用一路發 就發現 112.105.133.96 06/08 14:32
→ Asti:一路發有這個很糟糕的問題 112.105.133.96 06/08 14:32
推 wobtt:話說"個資法"已經上路了,看看有沒有辦法用這 123.240.89.58 06/08 16:45
→ wobtt:這看看他們有無違法的事由 123.240.89.58 06/08 16:45
→ spotH:個資法還沒上路,還要等幾個月行政院 124.10.83.148 06/08 17:49
→ spotH:公布實施時間... 124.10.83.148 06/08 17:49
※ 編輯: spotH 來自: 124.10.83.148 (06/08 22:17)
→ wobtt:我一直以為五月就上路了,原來還沒施行,感謝 123.240.89.58 06/08 22:24
→ wobtt:樓上分享 123.240.89.58 06/08 22:25