2013年10月15日 星期二

中華電 Wi-Fi數據機洩個資 隱瞞型號P874可被攔截帳密「很瞎」

中華電 Wi-Fi數據機洩個資
隱瞞型號P874可被攔截帳密「很瞎」


華電信內建Wi-Fi數據機遭爆資安漏洞。有民眾投訴指中華電信部分P874型號數據機,可輕易查出個人的無線網路帳號密碼,造成個資外洩,甚至遭有心人士利用。中華電信坦言知此瑕疵,已在更新改善,但未公布影響範圍。消基會批業者隱匿;民眾也罵:「很瞎!至少該先通知、讓民眾可保護自己。」

該批出包的數據機是內建Wi-Fi的P874型號,以往多用在50M光世代用戶家中,估計現有用戶至少90萬戶,但中華電信昨稱僅少部分戶數受影響,未公布確切的受影響戶數。國家通訊傳播委員會(NCC)表示,會進一步調查。

恐成小額付款漏洞
任職外商科技公司的藍姓工程師向《蘋果》投訴指,近期發現有近100組以上的網路位址(IP)掃描他的防火牆漏洞,基於好奇,他也掃了同網段的IP,發現許多浮動IP都有漏洞,再輸入網路上可找到的數據機帳號和密碼,登入後竟看到他人的無線網路服務群組識別碼(SSID)名稱和Wi-Fi連線密碼。

藍姓工程師質疑,輕易就可知道鄰居的無線上網密碼,意味著他自己的資料也會被輕易查出,被發現後恐遭用做其他不當用途,相關資料外洩或會造成小額付款漏洞。

《蘋果》記者撥打投訴人查到一組疑為手機號碼組合的密碼,接電話的民眾蘇先生確為50M光世代用戶,且表示該組帳號是家中門牌號碼、密碼是手機號碼,獲悉此事批說:「很瞎!中華電信至少應通知,讓民眾懂得保護自己。」

辯稱:拿到也沒用
中華電信回應說,僅P874型號中的極少數數據機有瑕疵,都是光世代用戶且用中華電信贈送的家用Wi-Fi使用者,但需電腦網路高手使用專業軟體,才可進入截取少部分數據機的Wi-Fi SSID和密碼,且浮動IP並無地域性,「知道密碼也沒辦法做什麼動作」,但為免消費者疑慮,4月起已透過升速陸續進行遠端更新,只要用戶數據機有插電、就可被更新,但未統計影響用戶。

資安網站「大砲開講」站長邱春樹表示,此可能風險包括有心人可透過進入數據機取得相關資料,恐造成個資外洩、電腦中毒、被當殭屍電腦運用、遭詐騙等。

專家:應全面回收
東華大學資訊工程系教授張瑞雄也說,若有瑕疵,業者有責任告知受影響的使用者,「萬一在解決之前民眾有損失,該由誰負責?就像買東西有瑕疵,應全面回收處理。」

消基會秘書長雷立芬表示,涉及個資外洩,發現當下就應主動告知消費者,如汽車有瑕疵就召回,而非隱匿不通知,若真的有人利用資料做壞事,損失就應由業者負責。

中華電信數據機安全漏洞問題

◆原因
用戶使用內建Wi-Fi數據機的遠端管理介面,預設值為開啟,有心人士可能透過專業軟體,搜尋到使用浮動IP的家用Wi-Fi帳號、密碼,恐致個資外洩

◆影響對象
光世代用戶且使用中華電信贈送的家用Wi-Fi者,中華電信未透露影響戶數,強調僅少數數據機受影響

◆問題數據機型號
部分P874型號數據機受影響

◆因應
中華電信遠端更新,近期完成

◆申訴洽詢
中華電信:0800-080-123
NCC:0800-177-177

轉載自《蘋果日報》