網絡共享軟件重複洩漏個人和商業和政府私隱

Courtesy of CIB, Taiwan

發稿時間: 2006/11/27 上午 11:03:33  http://www.cib.gov.tw/news/news02_2.aspx?no=289

經台灣科技犯罪防制中心分析P2P檔案分享軟體恐造成下列問題： 

（一）P2P相關檔案，遭放置惡意程式： 
這種情況常見於P2P相關程式，有心人士將P2P安裝程式或工具組放置木馬後門程式或病毒蠕蟲後，再將加殼之後的P2P軟體，公佈於公開網站(通常是入口網站與論壇網站)，供人下載，若有不知情的民眾下載這些有問題的P2P程式，就會被植入木馬後門或感染病毒蠕蟲。另外，下載影音檔案的內容暗藏木馬後門程式或病毒蠕蟲，P2P軟體BitTorrent工具系列(簡稱BT)就曾經發生駭客將木馬後門程式或病毒蠕蟲包裝成假的影音檔案，再透過torrent描述檔案傳送出去，造成下載的使用者感染惡意程式。 
（二）P2P軟體本身的漏洞，造成駭客入侵： 
由於P2P軟體的運作相當複雜，也因此產生許多系統漏洞，例如2005年開始，在日本地區因為P2P檔案分享工具「Winny」的漏洞問題，發生嚴重資料外洩與駭客入侵的資安事件，因此造成日本軍方與政府部門機密資料外流的情況，日本政府已經三申五令，嚴格禁止政府部門與大型商社企業使用P2P軟體，不過，Winny蠕蟲感染與後門漏洞所造成的資料外洩情況，一直到2006年底都未見平息，可見用戶端的行為控管非同小可。在國內同樣存在這樣的問題，駭客藉由某P2P的0 day漏洞問題，可分享使用者的所有目錄／檔案，造成個人檔案外洩。 
（三）使用P2P軟體時，誤將本機目錄開放共享： 
P2P使用者操作疏忽時，誤將電腦之本機目錄開放共享，可能導致駭客可以輕易進入被害人(被駭人)電腦，竊取個人隱私檔案或重要資料，例如自拍照片與金融信用卡資料等。因為P2P檔案分享工具與網路芳鄰的目錄分享並不相同，P2P工具的目錄分享並沒有存取身份限制與帳號密碼管理的機制，而網路芳鄰的目錄分享與FTP的檔案存取，皆可以透過使用者自己設定控管權限，目前僅有極少數P2P軟體提供網路存取與身份之控管。

 

全球預警: 停止使用Foxy P2P網絡共享軟件

2009 香港南華球星薪酬再洩私隱

2008 – 2009 另外 ，也有文件疑來自律師行、食環署 、入境處、消防處、警方及醫管局的內部文件。

2008 台灣民眾準備報稅，在Foxy下載軟體上，搜尋申報資料這四個字，結果出現近百萬筆的納稅人的報稅資料，身分證字號、住址、收入，通通一覽無疑。

Courtesy of Computer Forensics Research Group, CISC of HKU

Security Analysis of the Foxy Peer-to-Peer File Sharing Tool

http://www.cs.hku.hk/research/techreps/document/TR-2008-09.pdf