據臺灣媒體報導,擁有上千萬會員、相簿用戶上百萬的PChome,日前遭投訴外洩私密照。一名平面媒體讀者指出,他日前自拍露鳥照存入PChome相簿,並上鎖加密,但目前卻因為此事氣炸,因為朋友竟然可以通過智慧型手機不須密碼瀏覽私密照,讓自己的隱私曝光於天下。對此,PChome營銷總監盧靜美表示,可能是內部作業時,手機版本沒同步更新導致。至於手機版本沒更新,是指設置手機版時就沒這個安全設定,還是系統未跟計算機版同步更新造成漏洞,她以細節問題尚需內部確認,未詳細回答。
盧靜美說,PChome相簿一般設定公開居多,只有少數相簿因網友需求要密碼保護,因此受影響會員極為有限,目前用手機觀看PChome相簿,已修正成要遵照原有設定才能觀看。
PChome遭訴 讀者稱露鳥照遭友看光
據了解,臺灣網絡家庭國際信息股份有限公司(PChome Online Inc。)由知名媒體人詹宏志於1996年創辦,為上櫃公司,和Yahoo!奇摩、番薯藤(Yam)並列臺灣三大門戶網站,網絡相簿會員約百萬名。
從事信息業的陳姓男子日前向媒體投訴,朋友告知用手機看到他放在PChome相簿的私密照片,質問「怎有露鳥照片?」他當時訝異直說:「怎麼可能?我都有上鎖。」不過,當他自行以手機操作時,卻發現果然可以免密碼瀏覽,他抱怨「這麼嚴重的問題,PChome卻沒發現?真讓人失望。」
實測通關 民眾罵實在太變態
媒體以Android及iOS雙系統手機,實測讀者所述放在PChome加密的相簿,在用計算機瀏覽時,鍵入密碼後才能開啟,但使用手機卻沒有任何驗證,可直接進入加密相簿,且毋須輸入密碼,甚至連計算機版上網址輸入特定參數,都可以直接進入手機版,隨意瀏覽加密相簿。不過,截至昨晚8時許,PChome相簿已恢復正常運作,智慧型手機已無法進入加密相簿瀏覽照片。
民眾林巧樺不可置信說:「這不就全世界都看光光,實在太變態!」民眾廖育翎也驚呼:「這太恐怖!我會將照片刪除後不再使用。」大學生張富凱則指出,不想給別人看的照片一定會上鎖,應是PChome系統出現問題。
漏洞到底有多大?賴姓網絡工程師指:「這是一個很大漏洞,PChome可能有人要被fire(開除)。」臺「行政院資通安全辦公室主任」蕭秀琴則指出,手機在安全驗證機制比計算機簡化,可能信息安全防護有漏洞,會了解PChome是否資安不夠周延,再請主管部門「經濟部」要求業者改進。
臺「刑事局」趕著為百萬網友支招,表示民眾若發現加密相簿不雅照外流,可先截取智能型手機加密相簿未上鎖的屏幕畫面保全證據,再將不雅照移除,日後可個別提告或提團體訴訟。
程序漏洞 手機瀏覽器直接闖關
至於智慧型手機可輕易進入私密相簿瀏覽,網絡工程師Matis表示,PChome相簿出現此嚴重問題,應是網頁程序對手機瀏覽器完全不設防,一般網頁程序設計上除考慮到不同瀏覽器外,也會考慮用戶運用何種裝置上網,會在Java Script語法(程序語言)支持度都考慮進去,「很顯然PChome未將手機版本列入考慮,有沒有設密碼根本沒差異」。
Matis指出,網絡工程師設計網頁時,一定要有資安背景,「出現這種狀況相當糟糕」。
擁有十幾年程序設計經驗的Neil認為,PChome相簿極可能是網頁程序語法中,手機瀏覽器進到網頁後,因無法辨識該瀏覽器,網頁程序就忽略原本設定密碼,直接讓瀏覽者過關,點入後即可觀看,「PChome是個老站,會出這種包太令人訝異」。
臺灣無名相簿多年前也曾發生網頁結構問題,不須任何黑客手法,只要安裝特定的抓檔案軟體,就可把包括上鎖的相簿全都下載抓走,造成受害正妹激情私密照至今仍在網絡上流傳。Matis指,網站提供空間讓會員存放照片,即使上鎖並不代表安全,加上現在數據都會放在雲端,建議類似個人私密照,還是不要存放在相簿以策安全,「全世界沒有百分之百安全的網站,破解只是時間問題」。
辣模相簿遭入侵 提告不是最好辦法
近日辣模小雪、Nono、江小辣、Sunny等人的私密照外流,網絡安全問題業已在臺灣引發軒然大波。律師張建鳴提醒,「刑法」妨害計算機使用罪部分法條屬告訴乃論,若發現設密碼保護的網絡相簿被入侵,須6個月內報警提告。
「刑事局」提醒,不拍不雅照、不放上網絡,才是杜絕私密照外流最好方法,網絡密碼也應定期更新並增加強度,不要點擊來路不明的連結或下載程序,避免遭黑客植入木馬程序,才能降低被「駭」的機率。