2015年12月28日 星期一

個資漏洞


聖誕假期,內子回鄉探望舅仔新開的小店,我則帶著兩個女兒享受假期。到了一個大型商場,玩了中庭一個拍照遊戲。完結時要求輸入電郵地址,所拍的照片會轉化成聖誕卡並寄到郵箱。原本一個簡單的遊戲,卻存在著嚴重的個資漏洞...。

我的郵箱不久後收到聖誕卡,點擊圖片會彈出瀏覽器並顯示原大尺寸的版本,用戶可以把它儲存起來。然而,我看到網址是 http://xxxx.hk/c/xxxx2015_xmas/_bin/20151225/20151225151347_xxxxxxgmailcom.jpg 的格式。要是把檔名「20151225151347_xxxxxxgmailcom.jpg」拿走的話,頁面會變成如上圖般的清單。點擊清單內的檔名,能完整地顯示他人的聖誕卡。甚至把目錄「20151225」拿走,更可以看到由活動開始至今的所有聖誕卡。如果只是洩漏了相片的話,問題還算接受得到,畢竟當中的相片會不停在 Kiosk 播放,總算是一早公開了。不過聖誕卡檔名尾部是除去符號的電郵地址,加埋相片樣貌,可以引伸出嚴重的問題。我立即通知商場,好讓他們能盡快處理。幸然他們的反應算是合格,在下一個工作天已把問題修正。現時如果瀏覽目錄的話,會轉跳到商場的官方網頁。其實今次的個資漏洞很容易防止,只是開發人員經驗不足,或者是不小心而導致。還好,沒有因為這個漏洞給媒體有炒作一翻的機會。不過,日後玩商場活動,特別是需要輸入個人資料的,真是要格外小心。

沒有留言: