Famiport 雲端列印讓你家外流變全家(*全家已修改機制 - Jax NOtE
文章推薦指數: 80 %
你是否有使用過「全家便利商店Famiport - 雲端列印」服務?如果有,你家可能真的變成全家了!
Skiptocontent
廢文
*全家列印已修改驗證機制,此篇文章所述風險已不成立,僅供過往案例參考。
從全家列印-文件查詢頁面可以看到,已經取消透過E-mail帳號取得文件,現在僅能輸入列印號碼。
該列印號碼雖然只是純數字10碼,但只有文件上傳者能取得,並且是經過雜湊的亂數並非流水序,除非進行惡意的攻擊/暴力測試行為,想要竊取尚具下載權限的檔案幾乎不太可能。
不過還是要提醒一下,機敏性高的資料還是斟酌使用雲端列印,避免因一時大意被有心人取得列印號碼,造成資料洩漏風險。
=== 以下為過往案例 僅供參考 ===
你是否有使用過「全家便利商店Famiport–雲端列印」服務?如果有,你家可能真的變成全家了!
全家便利商店所提供的「Famiport雲端列印」服務,讓使用者透過網頁直接上傳要列印的文件,並且以該文件上傳時所填寫的E-mail帳號作為識別所有者的方式之一。
(參見下圖Email*必填欄位)
「Famiport雲端列印」上傳文件頁面
同時「Famiport雲端列印」也提供了查詢上傳文件的服務(參見下圖),輸入E-mail帳號便是查詢的方式之一,然而,這種看似便民的方式卻潛藏著資安風險,先不說那個形同虛設的驗證碼(驗證碼居然是可以被直接複製貼上的文字格式),關鍵的問題在於任何人都可以任意輸入他人的E-mail做查詢的動作。
「Famiport雲端列印」查詢上傳文件頁面
以下進行一個小實驗(注意:以下實驗已取得當事人同意,如您未經當事人同意請勿輕易進行實驗,以免觸法)當事人的E-mail帳號行之有年,不僅作為親友間的聯絡管道,同時也是工作聯絡的方式之一,總而言之,只要跟當事人有接觸過就能取得當事人的E-mail,那麼有心人士便可以在「Famiport雲端列印」的查詢上傳文件頁面上輸入當事人的E-mail帳號進行查詢。
(參見下圖)
可任意輸入目標對象的E-mail
很不巧的,當事人近日剛好使用了「Famiport雲端列印」服務,更糟的是當事人列印的文件是「戶籍謄本」以及含有機敏資料的文件,因此,雖然我非此E-mail帳號的擁有者,卻能透過查詢功能直接取得當事人先前上傳的文件。
(參見下圖)
只要點選「線上查看」便能下載該文件
看到這裡,相信你會先感到一陣驚訝卻又馬上嗤之以鼻,覺得這根本算不上什麼漏洞,我猜你應該有以下的想法:
誰沒事會去「Famiport雲端列印」查對方的E-mail啊!也要當事人有在使用「Famiport雲端列印」更何況上傳的文件有列印期限,超過期限就查看不到了
是的,以上都是一個身心健全的正常人思維。
然而,駭客和犯罪者可不會如你所想的這麼天真,他們有著異於常人的智慧、有著靜待獵物上門的耐心,甚至他們不需要花費多少力氣,只用了一杯咖啡的時間就寫了個機器人,開始利用這個缺失,恣意地蒐集各種「可能性」,或許你又會問,就算取得這些資料又能幹嘛?
客戶、合作廠商可能因此被競爭對手取得。
重要合約外流,蒙受難以估計的商業損失。
個資被竊取,您或您的家人生活作息都被他人所掌握。
透過零碎資訊,拼湊出當事人的行動軌跡。
總之,不要問這樣做能幹嘛,而是這樣做的人想幹嘛就幹嘛!
建議:
使用從未公開於他人的E-mail帳號來使用(其實也不妥,再未改善缺失前,有可能會被掃到帳號而被取得上傳文件)不使用「Famiport雲端列印」上傳有關你與任何人的個資或機要敏感資料(如果你每次都能確定所上傳的文件內容都是安全無虞的話)在「Famiport雲端列印」改善服務機制前,不要再使用「Famiport雲端列印」服務(提供雲端列印的便利商店還有很多間,不過某方面來說還是有洩漏風險的可能(也許下次我會針對ibon來寫?))不要上傳了,買支USB直接插入機台讀取檔案列印就好(也是一個辦法,但如果是在高資安要求的條件下,這樣做也是不允許的!)直接向全家舉報此缺失,要求立即改善(交給你了,我懶得做這件事:如您發現『FamiPort』所提供之服務有系統錯誤或疏失,請立即通知服務中心人員。
(專線:0800-221363))
相關連結:
「Famiport雲端列印」上傳文件頁面https://www.famiport.com.tw/Web_Famiport/page/cloudprint.aspx「Famiport雲端列印」查詢上傳文件頁面https://www.famiport.com.tw/Web_Famiport/page/cloudprint_sh.aspx
補充說明:
以上僅做為資安教範,不鼓勵任何非法行為,您個人的行為請您自行負責。
相信日後「Famiport雲端列印」會修正此缺失,所以本篇文章分類歸類在「廢文」。
Tags:famiport,個資洩漏,全家,漏洞,雲端列印,駭客
273月,2017
常用CSS筆記(教學範例預備項目)
273月,2017
稍微整理好自己的人生(?)
155月,2017
勒索病毒測試:jaffdecryptorsystem
贊助時間銀行:
搜尋關鍵字:
近期文章
AA無障礙色票產生器
Famiport雲端列印讓你家外流變全家(*全家已修改機制,此文章所述內容僅供過往案例參考)
練習七:jQuery頁面頂端卷軸進度條
CentOS7安裝WHMcPanel與設定ApacheTomcatProxyPass/ProxyPassReverse
練習六:一個綜合F5不夠,那你有試過3個嗎?自製Komica多版面瀏覽HTML
分類
專題:SEO實務心得(3)
專題:今天我Wordpress(3)
專題:自己的網站自己架(4)
廢文(5)
架站筆記(1)
綜合應用:HTML+CSS+jQuery(10)
電腦&網站疑難雜症(4)
Tags404
ADSL
Apache
Apacheconf
Bitnami
CSS3
DDNS
Domain
ease-in-out
Encode
GoogleAds
HTTP
HTTPS
HTTPServer
index.php
ipconfig
jQuery
Let'sencrypt
MySQL
NO-IP
PHP
phpMyAdmin
Port
scrollbar
SSL
SSLforFREE
transition
urldecode
UTF-8
WAMP
well-known
Windows
WooCommerce
wordpress
wordpress安裝教學
z-index
中文網址
克思六
區網IP
固定網址
排除關鍵字
浮動IP架站
自己架Server
關鍵字
防火牆設定
延伸文章資訊
- 1雲端列印上傳 - 全家FamiPort
只要在家先上傳檔案,就可再FamiPort列印文件,立即享受雲端列印便利性! ... 1111人力銀行履歷表列印; 518人力銀行履歷表列印; MyFmiPort雲端列印; 掃描儲存至USB.
- 2四大超商列印教學,網路投保要保書列印簽名沒煩惱 - 臺灣產物 ...
前言 · 網路投保完成,下載要保書 · 四大超商列印教學統整. 7-11列印. (1) 7-11雲端列印; (2) ibon列印. 全家列印. (1) famiport列印; (2) USB列印...
- 3雲端列印 - 全家FamiPort
請先在這裡上傳所需列印之檔案,取得「列印號碼」後,即可至全家FamiPort 選擇下載「個人文件」, ... 全家便利商店股份有限公司(以下簡稱「本公司」)係依據本服務條款 ...
- 4Famiport 雲端列印讓你家外流變全家(*全家已修改機制 - Jax NOtE
你是否有使用過「全家便利商店Famiport - 雲端列印」服務?如果有,你家可能真的變成全家了!
- 5Q.怎麼用隨身碟列印/USB列印 - 金儀股份有限公司
影印作業越來越方便,資料存雲端、隨身碟都可以到便利商店列印。臨時到客戶公司開會,筆電肯定沒有設定連接印表機/影印機,那就使用隨身碟列印之術! 影印機USB列印是 ...