【本報訊】通訊網絡商CSL旗下的one2free手機內容網頁,被發現嚴重保安漏洞,只要將網址字串稍作刪減,便可進入伺服器管理員操作頁面,輕易查看其他用戶手機號碼、型號和登入時間等個人資料。有軟件工程師形容,「有心人」利用這漏洞可輕易盜取其他客戶身份,甚至發動攻擊器令網絡伺服器關閉。
資訊工程犯低級錯誤
軟件工程師Gary是one2free客戶,他近日發現,只要使用手機登入one2free網頁(wap.hkcsl.com),點擊「自選影院」後,將網址後段字串刪除至剩下「 http://mtv.csl.asia:8484/」
,便可以進入名為JBoss的伺服器管理頁面(理論上這裏只有伺服器管理員才有進入權限)。
Gary形容one2free資訊工程部門犯了低級錯誤,「呢個頁面冇可能任人入,因為呢度好多客戶私隱,有心人可以做到好多嘢」。
Gary在記者面前示範按下一些功能鍵,網頁即時展示大量文字訊息,當中包括相信是one2free客戶的電話號碼,連同手機型號和登入時間等個人資料。他說:「有心人慢慢試、慢慢搵,可以搵到更多資料,甚至盜用你嘅身份,亦都可以攻擊伺服器令佢死機。」
立法會資訊科技界議員譚偉豪批評有關失誤是嚴重疏忽:「如果一般人唔使用非法入侵手段,就可以進入你嘅伺服器頁面,就係你嘅資訊保安有漏洞。」
CSL在收到本報通知後,已經即時堵塞漏洞,但就死撐問題影響輕微。發言人稱已諮詢法律意見,所有流出資料不算是私隱,一般人亦無法透過該頁面取得更多資炓。
私隱專員公署發言人表示,法例所保障私隱定義,是要能確切識別出市民身份。Gary慨嘆個人資料保障不足,「如果俾一啲電話推廣公司拎到手提電話號碼同手機型號呢啲資料,已經可以打嚟騷擾你」。