记得上myGov删cookies 不然泄露隐私!

本帖最后由 阿德莱德BBS 于 19-11-2015 01:01 PM 编辑




因为澳洲税务局(ATO)与政府网站myGov的在线服务连接出现严重错误,纳税人的私人记录失去保障。联邦政府的在线服务也不是第一次出现安全隐患了。
有位试图报告问题的纳税人声称两度被税务局及人类服务部客服中心的职员挂电话,对此,专家表示担心2个部门处理IT安全问题的方式。

悉尼IT专家JP Liew近期发现了此次的漏洞,当时他想登陆myGov来提取在线税务记录,却发现看到的是他妻子的。
Liew录制了一段视频进行展示——点击myGov邮箱中的1个链接下载1份PDF版信件后,会产生1个“cookie”(储存在用户本地终端上的数据),它可以让用户登入税务局的网站ato.gov.au。

由于点击PDF的链接不会打开ato.gov.au的浏览器页面,因此,那个页面不会被关闭,“cookie”也不会失效,意味着下一个登入myGov并点击导向ato.gov.au链接的用户会看到前一个用户的记录。

Liew在视频中说:“我刚刚花了约1个小时打电话给4个myGov 的技术支持人员来解释,其网站上有个严重的故障,在共享电脑和浏览器的情况下会暴露彼此的税务局信息。在职场和公共图书馆,这(共享电脑)是非常普遍的。不过,他们似乎都没有理解我的意思。”

税务局声称本周已修复了问题。Liew也在对方提出安全担忧后删除了YouTube 的那段视频。

有安全分析师认为,其它政府服务,包括Medicare和Centrelink,也很可能存在该缺陷。

税务局并未透露该缺陷存在多久了,但声称知道会出现的背景非常有限——第1个用户登出myGov之前没有登出税务局网站(或登入没有自动过时),以及2个用户使用同个设备和浏览器。

人类服务部的发言人表示,myGov方面没有故障,此次问题是税务局那边的。

CQR Security的创始人科尼克(Phil Kernick)也指出,删除“cookie”的责任在接入myGov的机构身上,而不是myGov本身。
不过,安全研究员库布里洛维奇(Nik Cubrilovic)声称故障的起因根植于myGov及其SSO流程的结构,以及认证用户这个非常基础的板块。

一年半前他曾致信人类服务部,提出修复至少12个myGov安全问题的建议,但目前仍有一半没有得到实施。当中最简单的就是让用户明确知道要通过哪个渠道来举报故障。
1447889989122.png
这边政府感觉就是拿着纳税人的钱,来搞搞这个, 这个不好,砸钱,继续。 再不好,另搞个
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Copyright © 2020-2021 tigtag.com ( 粤ICP备2021003054号 )|网站地图  
快速回复 返回列表 返回顶部