Famiport 雲端列印讓你家外流變全家(*全家已修改機制 - Jax NOtE

你是否有使用過「全家便利商店Famiport - 雲端列印」服務？如果有，你家可能真的變成全家了！ Skiptocontent 廢文 ＊全家列印已修改驗證機制，此篇文章所述風險已不成立，僅供過往案例參考。

從全家列印-文件查詢頁面可以看到，已經取消透過E-mail帳號取得文件，現在僅能輸入列印號碼。

該列印號碼雖然只是純數字10碼，但只有文件上傳者能取得，並且是經過雜湊的亂數並非流水序，除非進行惡意的攻擊／暴力測試行為，想要竊取尚具下載權限的檔案幾乎不太可能。

不過還是要提醒一下，機敏性高的資料還是斟酌使用雲端列印，避免因一時大意被有心人取得列印號碼，造成資料洩漏風險。

＝＝＝　以下為過往案例　僅供參考　＝＝＝ 你是否有使用過「全家便利商店Famiport–雲端列印」服務？如果有，你家可能真的變成全家了！ 全家便利商店所提供的「Famiport雲端列印」服務，讓使用者透過網頁直接上傳要列印的文件，並且以該文件上傳時所填寫的E-mail帳號作為識別所有者的方式之一。

（參見下圖Email*必填欄位） 「Famiport雲端列印」上傳文件頁面 同時「Famiport雲端列印」也提供了查詢上傳文件的服務（參見下圖），輸入E-mail帳號便是查詢的方式之一，然而，這種看似便民的方式卻潛藏著資安風險，先不說那個形同虛設的驗證碼（驗證碼居然是可以被直接複製貼上的文字格式），關鍵的問題在於任何人都可以任意輸入他人的E-mail做查詢的動作。

「Famiport雲端列印」查詢上傳文件頁面 以下進行一個小實驗（注意：以下實驗已取得當事人同意，如您未經當事人同意請勿輕易進行實驗，以免觸法）當事人的E-mail帳號行之有年，不僅作為親友間的聯絡管道，同時也是工作聯絡的方式之一，總而言之，只要跟當事人有接觸過就能取得當事人的E-mail，那麼有心人士便可以在「Famiport雲端列印」的查詢上傳文件頁面上輸入當事人的E-mail帳號進行查詢。

（參見下圖） 可任意輸入目標對象的E-mail 很不巧的，當事人近日剛好使用了「Famiport雲端列印」服務，更糟的是當事人列印的文件是「戶籍謄本」以及含有機敏資料的文件，因此，雖然我非此E-mail帳號的擁有者，卻能透過查詢功能直接取得當事人先前上傳的文件。

（參見下圖） 只要點選「線上查看」便能下載該文件 看到這裡，相信你會先感到一陣驚訝卻又馬上嗤之以鼻，覺得這根本算不上什麼漏洞，我猜你應該有以下的想法： 誰沒事會去「Famiport雲端列印」查對方的E-mail啊！也要當事人有在使用「Famiport雲端列印」更何況上傳的文件有列印期限，超過期限就查看不到了 是的，以上都是一個身心健全的正常人思維。

然而，駭客和犯罪者可不會如你所想的這麼天真，他們有著異於常人的智慧、有著靜待獵物上門的耐心，甚至他們不需要花費多少力氣，只用了一杯咖啡的時間就寫了個機器人，開始利用這個缺失，恣意地蒐集各種「可能性」，或許你又會問，就算取得這些資料又能幹嘛？ 客戶、合作廠商可能因此被競爭對手取得。

重要合約外流，蒙受難以估計的商業損失。

個資被竊取，您或您的家人生活作息都被他人所掌握。

透過零碎資訊，拼湊出當事人的行動軌跡。

總之，不要問這樣做能幹嘛，而是這樣做的人想幹嘛就幹嘛！ 建議： 使用從未公開於他人的E-mail帳號來使用（其實也不妥，再未改善缺失前，有可能會被掃到帳號而被取得上傳文件）不使用「Famiport雲端列印」上傳有關你與任何人的個資或機要敏感資料（如果你每次都能確定所上傳的文件內容都是安全無虞的話）在「Famiport雲端列印」改善服務機制前，不要再使用「Famiport雲端列印」服務（提供雲端列印的便利商店還有很多間，不過某方面來說還是有洩漏風險的可能（也許下次我會針對ibon來寫？））不要上傳了，買支USB直接插入機台讀取檔案列印就好（也是一個辦法，但如果是在高資安要求的條件下，這樣做也是不允許的！）直接向全家舉報此缺失，要求立即改善（交給你了，我懶得做這件事：如您發現『FamiPort』所提供之服務有系統錯誤或疏失，請立即通知服務中心人員。

(專線：0800-221363)） 相關連結： 「Famiport雲端列印」上傳文件頁面https://www.famiport.com.tw/Web_Famiport/page/cloudprint.aspx「Famiport雲端列印」查詢上傳文件頁面https://www.famiport.com.tw/Web_Famiport/page/cloudprint_sh.aspx 補充說明： 以上僅做為資安教範，不鼓勵任何非法行為，您個人的行為請您自行負責。

相信日後「Famiport雲端列印」會修正此缺失，所以本篇文章分類歸類在「廢文」。

Tags:famiport,個資洩漏,全家,漏洞,雲端列印,駭客 273月,2017 常用CSS筆記(教學範例預備項目) 273月,2017 稍微整理好自己的人生(?) 155月,2017 勒索病毒測試：jaffdecryptorsystem 贊助時間銀行： 搜尋關鍵字: 近期文章 AA無障礙色票產生器 Famiport雲端列印讓你家外流變全家(*全家已修改機制，此文章所述內容僅供過往案例參考) 練習七：jQuery頁面頂端卷軸進度條 CentOS7安裝WHMcPanel與設定ApacheTomcatProxyPass/ProxyPassReverse 練習六：一個綜合F5不夠，那你有試過3個嗎？自製Komica多版面瀏覽HTML 分類 專題：SEO實務心得(3) 專題：今天我Wordpress(3) 專題：自己的網站自己架(4) 廢文(5) 架站筆記(1) 綜合應用：HTML+CSS+jQuery(10) 電腦&網站疑難雜症(4) Tags404 ADSL Apache Apacheconf Bitnami CSS3 DDNS Domain ease-in-out Encode GoogleAds HTTP HTTPS HTTPServer index.php ipconfig jQuery Let'sencrypt MySQL NO-IP PHP phpMyAdmin Port scrollbar SSL SSLforFREE transition urldecode UTF-8 WAMP well-known Windows WooCommerce wordpress wordpress安裝教學 z-index 中文網址 克思六 區網IP 固定網址 排除關鍵字 浮動IP架站 自己架Server 關鍵字 防火牆設定