今天早上,想一想又把密碼改過一次,沒想到中午檢查時,看到那些物品又被上架了!這表示露天的系統設計上有安全性的問題,一般網站在更改密碼以後,之前登入過的連線都應該失效,需要重新輸入密碼才對,而露天沒有這樣的動作,所以盜用者還是可以用他昨天盜用時的連線繼續上架。
露天有提供登入記錄,可以看到盜用者從3/20號中午就已經直接登入過了,而且他在3/22早上10點登入以後,就開始貼那些假的拍賣品。還好我有發現,一件都沒賣掉,不然錢他收走了,沒有貨可以交,我就會被纏上了。我到晚上0點31分發現被盜,改了密碼以後,他今天早上還利用昨天已經登入的連線再度上架,一直到10:54他換了IP,必須重新登入,才因為我已經改過密碼了而失敗。究竟為什麼會被盜呢?有幾個可能:
(1) 被植入木馬。我的防毒軟體一直沒關過,也沒有上一些奇怪的網頁,重點是我上次登入露天,已經是2/13的事,沒道理那時候登入被駭到現在才發作,這個可能性不高。
(2) 露天資料庫被破。3/19露天曾經發生大規模斷線幾個小時,很巧的3/20盜用者就直接進入我的帳號了,連密碼失敗都沒有。會不會是斷線的時候資料庫被駭過?這個要看有沒有其他受害者有同樣的情況了。
(3) 是去年那次Y拍的資料洩出。以前各網站的密碼只有幾組,而露天很少去,所以那時候沒改到,有可能就是因此被拿來用了。
不管是哪種,反正我已經把登入記錄寄給露天客服,所有網站的密碼又換過一輪,祈禱不要有第三部了。正當我以為事情已經告一段落時,剛剛又收到露天的悄悄話,有人還在問我有關假的拍賣品的細節!救命啊,我都已經下架而且刪除了,怎麼還在問啊?原來只要商品的超連結有留下來,都可以直接連過去,露天這個設計真是害人,沒完沒了的.....(囧)
