推 a123453906: 這是有內鬼的意思?06/25 21:30
我覺得比較像拖字訣,然後把母公司BG拉出來處理
推 seer2525: 怎麼看起來像BG裡面有人外洩表單= =06/25 21:30
→ OochunoO: 內部機密居然沒開特定使用者才能瀏覽的權限..06/25 21:30
推 AkiHimeTMT: 一旦跟西岸扯上關係就沒有能全身而退的06/25 21:30
推 digitai1: 但是基本上啥都沒講 重點就URL流出導致能查看06/25 21:30
推 t128595: 所以看起來不是單純的自爆耶06/25 21:30
→ OochunoO: 這隨便一個人把連結丟出去就炸了 外洩者甚至不用留下06/25 21:31
※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:31:08
→ OochunoO: 閱覽紀錄06/25 21:31
推 s22shadowl: 沒擋權限直接開連結就是偷懶啊06/25 21:31
→ murderer2013: 有內鬼 關門 放狗06/25 21:31
→ qoos0620: 感覺就內部人員有出問題 不然表單好好的沒事也不會改權06/25 21:32
→ qoos0620: 限06/25 21:32
推 stan1231: 是個員工都能看的意思 所以抓不出來是誰洩漏06/25 21:32
推 SuiseiTrain: 團滅06/25 21:32
推 macocu: 就那種連結給了就會看到,沒給連結就不知道06/25 21:32
推 ttcml: 柯南bgm06/25 21:33
推 zzro: 大概沒有給員工google企業版帳號 所以文件也沒辦法預設成06/25 21:33
→ storyo11413: 這資安思維很失敗 後續很艱辛了06/25 21:33
→ zzro: 本企業的帳號才能觀看?06/25 21:33
→ macocu: 我怎記得之前也有類似的事件06/25 21:33
推 AbukumaKai: 公告發了 但像是沒發06/25 21:33
推 uligaga: 未來幾年內各大企業勢的新人 可能會在活動過程中飽受這06/25 21:33
→ uligaga: 份表單帶來的困擾 真是苦了這些從業者與受害者 06/25 21:33
→ AbukumaKai: 問就是內鬼在搞06/25 21:34
→ alan3100: 這狀況很多..aws s3之前也預設全公開 爬蟲有機會爬到06/25 21:34
推 hasroten: 有問題吧 正常要限定使用者==06/25 21:34
推 digitai1: 我也記得這種東西你企業版本是預設關閉的吧?06/25 21:35
→ alan3100: 有可能google doc預設有編輯用url 但沒預設非公開06/25 21:35
→ A5Watamate: Google表單更改閱覽權限不是會通知所有共用者嗎06/25 21:35
→ digitai1: 所以他不是按白名單 直接按有網址者可查看?06/25 21:35
推 f1731025: 這根本大家直接隨便看 根本不用流出06/25 21:36
→ alan3100: 或著有資安小白以為沒人知道url就不會被hack就隨便設定06/25 21:36
→ macocu: 你非公開還是外流阿,url跑出去了06/25 21:36
推 Y1999: 流出(X)直接開放(O)06/25 21:36
推 hasroten: 照他寫法看起來是只要知道url的就能看06/25 21:36
→ intela03252: 就跟你youtube影片設定非公開一樣,只要有網址就能看06/25 21:36
→ macocu: 就跟之前YT有些影片要點連結才看得到,你查詢查不到06/25 21:36
→ asd45654: 這下精彩了 BG這下光這案子要解決都不知要花費少資源06/25 21:37
→ intela03252: 只是影片本身不會被放在推送頁面06/25 21:37
推 digitai1: 恩 然後不知道誰直接把這網只給出去了06/25 21:37
→ alan3100: 沒擋權限就會被爬蟲爬到 但資安小白可能就不知道06/25 21:37
→ intela03252: 這就是便宜行事的下場,不管流出的是不是故意,傷害06/25 21:37
→ intela03252: 都造成了06/25 21:37
推 AbukumaKai: 他意思就是權限設成有URL就能看 然後URL不知道被誰外06/25 21:37
→ AbukumaKai: 流 超白癡 06/25 21:38
→ hasroten: 九日那個是不是也是這樣06/25 21:38
推 tsubasa0922: 應該補一個BG 那個連結,是說可能不只vspo 同一天底06/25 21:38
→ tsubasa0922: 下有其他也發現被編輯可能有外洩的可能性06/25 21:38
有稍微說明了
→ macocu: 這種就企業負責資料的使用者習慣會決定資料安全程度06/25 21:38
→ AbukumaKai: 日本資安 瓦拉瓦拉06/25 21:38
推 chatoff: 如果krkr講一週前有通知是真的 那Vspo這週都沒查嗎06/25 21:38
推 GaoLinHua: 會用google表單徵才的公司= = 06/25 21:38
推 Atima: 一家公司把徵才資訊放到骨狗文件 恩...我以為是團購捏06/25 21:38
※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:38:48
→ qoos0620: google表單權限 只有作者和給協作者權限或全公開 沒有所 06/25 21:38
→ qoos0620: 謂給連結才能看 表單給連結能看就是設定成全公開 06/25 21:38
→ AbukumaKai: 他把整個BG都拖下來 意思該不會是全公司都這樣處理吧 06/25 21:38
事實上看來是bg不只VSPO有這個狀況
推 ttcml: 九日那個應該是駭客,這個字裡行間感覺在暗示內鬼 06/25 21:39
→ Y1999: 可能kr有講,但他們看一看覺得沒問題 06/25 21:39
→ AbukumaKai: 超級白癡 06/25 21:39
→ uligaga: 全部怪罪日企文化也不夠全面吧 尤其該行業首當重視資安意 06/25 21:39
→ uligaga: 識 06/25 21:39
推 digitai1: 是 我說白名單就是給協作者權限 06/25 21:39
→ a12073311: 放google文件還好 但企業版可以限定只有同公司能看吧06/25 21:39
→ digitai1: 你知道網址就有 那就是全公開 06/25 21:39
推 hasroten: 全公司都這樣處理也太鬼故事了吧== 06/25 21:39
→ a12073311: 就算給連結也沒差06/25 21:39
→ storyo11413: 用google不是問題 資安太爛還是把頂級金鑰外流06/25 21:40
→ a12073311: 省錢用免費版還給連結就無解了 06/25 21:40
→ digitai1: 你在協作權限狀態點進去 會有申請帳號送出通知 06/25 21:40
※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:40:46
→ digitai1: 然後作者會接收到 過了才點德進去 06/25 21:40
推 lim1925: BG底下的都出事耶,還有說到確認6/18就有人來信反應 06/25 21:41
推 seer2525: BG整個都有這個狀況 這樣是BG的人把URL外洩了吧06/25 21:41
→ intela03252: 除非是有內鬼去改成全公開+流出網址 06/25 21:41
→ storyo11413: 這種分享對管理人很偷懶 不用在那邊被通知要追加名單 06/25 21:42
→ digitai1: 資 安 鬼 故 事 人家說要變第三大箱的事務所 06/25 21:42
→ seer2525: 不然子公司的人 能去動到母公司其他旗下公司的權限?06/25 21:42
→ digitai1: 這種東西處理的向是高中期中團體報告分享06/25 21:42
→ Y1999: 6/18那個不會就是kr吧,剛好一週前,笑死 06/25 21:42
→ intela03252: 不然單純流出RUL這件事是永遠存在的風險,就算是無意 06/25 21:42
→ amd7356: 這邊擺明是BG問題 只是VSPO個資最多才一堆人集火打 06/25 21:42
→ gox1117: 才一萬多 小事情啦 06/25 21:42
→ intela03252: 本來就該用權限來防止風險 06/25 21:42
推 Ttei: 很像某國人喜歡玩的盒攻擊 06/25 21:42
推 st1083971: 看起來就是回報給母公司等處理 不過連個別限定使用者06/25 21:43
→ st1083971: 都沒也太天兵… 06/25 21:43
推 tsairay: 看了一下,齁也是用google表單報名的,所以用google不是06/25 21:43
→ tsairay: 甚麼大問題06/25 21:44
推 macocu: 要嘛懶,要嘛負責的人完全沒概念06/25 21:44
推 asus0408: DM了一周沒發現 等KRKR爆出來才知道 笑死 06/25 21:44
推 digitai1: 用估狗從來不是問題 是你設定權限的概念 06/25 21:44
推 otosukisugi: 他這不就是爆料出來了才知道出問題了 06/25 21:45
推 lim1925: 雖然文內沒指名不過有說今天PO文的一位是在之前有反應 06/25 21:45
→ killme323: 本來就不是用google的問題啊... 06/25 21:45
→ qoos0620: 一定有人拿有權限的帳號 偷偷亂搞才會這樣 不然表單製作06/25 21:46
→ qoos0620: 好 沒事也不會去設定全公開的權限06/25 21:46
推 shadow0326: brave groups承認一周前的確有收到推特簡訊通報,說因 06/25 21:47
※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:47:13
→ shadow0326: 為這個通報方式在他們處理上造成了延誤 06/25 21:47
→ hasroten: 三小 還能推給通報的喔 06/25 21:48
→ shadow0326: 照公告的寫法,其中6/25通報的人應該是krkr 06/25 21:49
→ AbukumaKai: 你們怎麼不用OOO來通報 害我們處理慢了^^06/25 21:49
※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:49:20
→ yuniko98k: 是說如果他們以前都這樣處理 現在才出事也很神奇 06/25 21:49
推 tsairay: 業務擴充,人力沒跟上就容易出這種包吧 06/25 21:50
→ intela03252: 出包的是BG集團,VSPO只是用同一個系統 06/25 21:51
→ intela03252: BG官網公布的那一篇比較詳細 06/25 21:51
推 macocu: 推特延誤其實偏容易,但要看他們推特是不是每天上百訊息 06/25 21:51
推 otosukisugi: 加起來上萬件洩露 06/25 21:51
推 stan1231: 推特沒有追隨 可能會被設置在垃圾訊息區內 06/25 21:53
推 st1083971: 看起就是負責關的以為沒什麼關了就close掉對應 要慘了 06/25 21:55
推 digitai1: 推特18日有接收到 說沒及時反應 就當垃圾流言了吧 06/25 21:56
→ st1083971: 不過限定url外流的話的確有可能是內鬼,但不限定人員 06/25 21:57
→ st1083971: 就是天兵了 06/25 21:57
→ wahaha2005: 因為BG非上市,不知道正社員多少 06/25 21:59
→ wahaha2005: 但是BG這兩年招的新人,比虹更多… 06/25 21:59
→ wahaha2005: 因為BG這兩年吸引及開了很多新團 06/25 21:59
→ fish7333: 熟悉的BG回來了 06/25 22:00
→ UzInSec: 一周前6/18有人私訊提醒 今天才確認到私訊存在 嗯... 06/25 22:01
→ opman543: 這鍋可大條了,掉的可是人資 06/25 22:05
推 tsairay: 集團擴充太快,但管理體制沒跟上吧,還是用小公司的做事 06/25 22:07
→ tsairay: 方式,都是方便就好 06/25 22:08
推 winklly: 這種包我只能說 夕鶴 06/25 22:09
推 bluesheep816: 有內鬼外流URL 再亂傳啊 06/25 22:11
推 LoKingSer: 超雷,聽說這是第3大箱? 06/25 22:12
→ intela03252: 就算不是內鬼還是有可能外流阿,誰知道哪個員工會 06/25 22:12
→ intela03252: 腦抽把連結貼錯地方 06/25 22:13
推 winklly: 一開始就不應該把連結開出來吼 06/25 22:16
推 digitai1: 也不說外流 你一開始就白名單模式就沒這問題啊 06/25 22:17
→ yuniko98k: 我覺得這也不是單純白名單問題了 這內部管理都有問題 06/25 22:20
→ yuniko98k: 只用連結就算只給員工看也很雷 06/25 22:20
推 LittleJade: 有連結就能上就等於公開了啊 06/25 22:25
推 yumenemu610: 幹這蠢到連當鬼故事都沒資格 06/25 22:25
→ yumenemu610: 所以一星期前就有通知警告是真的嗎 06/25 22:25
→ Y1999: 公司說有人用推特訊息告訴他們,但沒被處理 06/25 22:27
推 jimmygaygay: 我在想如果用一些比較特殊的搜尋引擎 06/25 22:28
→ jimmygaygay: 是不是透過內文關鍵字就可以搜到 06/25 22:28
→ jimmygaygay: 這種只要連結就能看的表單? 06/25 22:28
推 Oswyn: 內部管控問題 連結換成是檔案也還是會外流 06/25 22:32
推 st1083971: 不可能搜到 谷歌也是每個網站都有先碰過才能建立起ind 06/25 22:33
→ st1083971: ex 要能搜到的話要嘛爬蟲到要嘛外洩擴散了 06/25 22:33
推 crossworld: 出這包有點誇了吧== 06/25 22:33
→ qoos0620: 表單是被改成全公開 這邏輯上一定是內部的問題 06/25 22:33
推 waitan: 感覺有內鬼 06/25 22:55
推 nothingbut: 資安鬼故事 06/25 22:56
→ VL1003: 能生連結不代表公開,但問題是權限設定太隨便。 06/26 21:18
→ VL1003: 例如這種檔案應該只能有少許的人看得到,甚至需要個別給權 06/26 21:18
→ VL1003: 限,假設給 HR 好了,其他理論上要鎖到拿到連結也看不了。 06/26 21:19
→ VL1003: 懶一點的就直接設定給組織內成員,然後就會被其他部門看到 06/26 21:20
推 leo125160909: chatgpt真的滿滿支語,以後學生記者網紅都用ai寫文 06/27 16:59
→ leo125160909: 章支語警察要加班加到死了== 06/27 16:59
