*全家列印已修改驗證機制,此篇文章所述風險已不成立,僅供過往案例參考。
從 全家列印-文件查詢頁面 可以看到,已經取消透過 E-mail 帳號取得文件,現在僅能輸入列印號碼。
該列印號碼雖然只是純數字 10 碼,但只有文件上傳者能取得,並且是經過雜湊的亂數並非流水序,除非進行惡意的攻擊/暴力測試行為,想要竊取尚具下載權限的檔案幾乎不太可能。不過還是要提醒一下,機敏性高的資料還是斟酌使用雲端列印,避免因一時大意被有心人取得列印號碼,造成資料洩漏風險。
=== 以下為過往案例 僅供參考 ===
全家便利商店所提供的「Famiport 雲端列印」服務,讓使用者透過網頁直接上傳要列印的文件,並且以該文件上傳時所填寫的 E-mail 帳號作為識別所有者的方式之一。(參見下圖 Email *必填 欄位)
同時「Famiport 雲端列印」也提供了查詢上傳文件的服務(參見下圖),輸入 E-mail 帳號便是查詢的方式之一,然而,這種看似便民的方式卻潛藏著資安風險,先不說那個形同虛設的驗證碼(驗證碼居然是可以被直接複製貼上的文字格式),關鍵的問題在於任何人都可以任意輸入他人的 E-mail 做查詢的動作。
以下進行一個小實驗(注意:以下實驗已取得當事人同意,如您未經當事人同意請勿輕易進行實驗,以免觸法)當事人的 E-mail 帳號行之有年,不僅作為親友間的聯絡管道,同時也是工作聯絡的方式之一,總而言之,只要跟當事人有接觸過就能取得當事人的 E-mail,那麼有心人士便可以在「Famiport 雲端列印」的查詢上傳文件頁面上輸入當事人的 E-mail 帳號進行查詢。(參見下圖)
很不巧的,當事人近日剛好使用了「Famiport 雲端列印」服務,更糟的是當事人列印的文件是「戶籍謄本」以及含有機敏資料的文件,因此,雖然我非此 E-mail 帳號的擁有者,卻能透過查詢功能直接取得當事人先前上傳的文件。(參見下圖)
看到這裡,相信你會先感到一陣驚訝卻又馬上嗤之以鼻,覺得這根本算不上什麼漏洞,我猜你應該有以下的想法:
- 誰沒事會去「Famiport 雲端列印」查對方的 E-mail 啊!
- 也要當事人有在使用「Famiport 雲端列印」
- 更何況上傳的文件有列印期限,超過期限就查看不到了
是的,以上都是一個身心健全的正常人思維。
然而,駭客和犯罪者可不會如你所想的這麼天真,他們有著異於常人的智慧、有著靜待獵物上門的耐心,甚至他們不需要花費多少力氣,只用了一杯咖啡的時間就寫了個機器人,開始利用這個缺失,恣意地蒐集各種「可能性」,或許你又會問,就算取得這些資料又能幹嘛?
- 客戶、合作廠商可能因此被競爭對手取得。
- 重要合約外流,蒙受難以估計的商業損失。
- 個資被竊取,您或您的家人生活作息都被他人所掌握。
- 透過零碎資訊,拼湊出當事人的行動軌跡。
總之,不要問這樣做能幹嘛,而是這樣做的人想幹嘛就幹嘛!
建議:
- 使用從未公開於他人的 E-mail 帳號來使用(其實也不妥,再未改善缺失前,有可能會被掃到帳號而被取得上傳文件)
- 不使用「Famiport 雲端列印」上傳有關你與任何人的個資或機要敏感資料(如果你每次都能確定所上傳的文件內容都是安全無虞的話)
- 在「Famiport 雲端列印」改善服務機制前,不要再使用「Famiport 雲端列印」服務(提供雲端列印的便利商店還有很多間,不過某方面來說還是有洩漏風險的可能(也許下次我會針對 ibon 來寫?))
- 不要上傳了,買支 USB 直接插入機台讀取檔案列印就好(也是一個辦法,但如果是在高資安要求的條件下,這樣做也是不允許的!)
- 直接向全家舉報此缺失,要求立即改善(交給你了,我懶得做這件事:如您發現『FamiPort』所提供之服務有系統錯誤或疏失,請立即通知服務中心人員。(專線:0800-221363))
相關連結:
「Famiport 雲端列印」上傳文件頁面
https://www.famiport.com.tw/Web_Famiport/page/cloudprint.aspx
「Famiport 雲端列印」查詢上傳文件頁面
https://www.famiport.com.tw/Web_Famiport/page/cloudprint_sh.aspx
補充說明:
- 以上僅做為資安教範,不鼓勵任何非法行為,您個人的行為請您自行負責。
- 相信日後「Famiport 雲端列印」會修正此缺失,所以本篇文章分類歸類在「廢文」。