前幾天的新聞,就是我們的人事行政局掉四百多筆個資外流了,外流的原因是搜尋引擎太強大,所以個資外流。
其實,這不是搜尋引擎太強大,而是網站設計人員沒有進行好相關的設定,而且網站的使用人員也輕乎資源外流的風險。搜尋引擎都會依據使用者設定,那些路徑可以抓,哪些不能抓。當然也有流氓搜尋引擎,完全不理會網站的使用者設定,常常聽到朋友在說,他的網站被對岸的百度會弄掛了。
後來一看,才知道,百度引擎狂抓他們網站的資料,大家知道的,搜尋引擎的蜘蛛(機器人)不只有一台,當一堆機器人機抓你網站的時候,就如果DOS(deny of service)攻擊,如果IP夠多夠分散,就變成了DDOS(donamic deny of service)。
回來主題,現在搜尋引擎越來越精密,當然,搜尋的規範也越來越嚴僅,但是這麼說好了,搜尋引擎會乖乖聽話,那駭客嗎?駭客才不會管你的設定,你的設定根本就是給駭客入侵的明燈。
比如說,我們跟搜尋引擎說
/admin
/personaldata
這兩個資料匣不要去抓內容
但是駭客一看,就知道一個是管理相關的程式,一個是個人資料,你是駭客,你會不會從這裡進去攻擊呢?如同此地無銀三百兩,你跟別人說這裡有重要的資料,請不要進來,如果你的網站有漏洞,駭客一定從這裡進來。而且網站設定有問題,變成list模式,只要知道路徑,就變成門戶大開,什麼資料都可以拿走了,這點地方都要相當的注意。
搜尋引擎的個資外流,只是冰山一角,其實我想,現在如果我透過一些手法,新聞爆發後後畿天我還是拿的到這些管員的個資,要看每個人操作的技巧,當然,網完沒有依據個人資料保護法進行好相關的保護,所以,如果這些官員因為受到損失,弄不好還可以回來告主管機關和網站維護單位。
網路無國界,入侵也一樣無國界,要保護好個人資料,除了必要的程式設計,搜尋引擎特性的了解,也是很重要的。本工作室的工程師從從程式設計、主機設定、網站架構、搜尋引擎特性都有一定的經驗,對於網站架設,資料安全性保護,都很有經驗,妥善保護客戶重要的資料。