本篇内容为转载/翻译内容,仅代表原文作者或原媒体观点,不代表本平台立场。
本帖最后由 阿德莱德BBS 于 19-11-2015 01:01 PM 编辑
因为澳洲税务局(ATO)与政府网站myGov的在线服务连接出现严重错误,纳税人的私人记录失去保障。联邦政府的在线服务也不是第一次出现安全隐患了。
有位试图报告问题的纳税人声称两度被税务局及人类服务部客服中心的职员挂电话,对此,专家表示担心2个部门处理IT安全问题的方式。
悉尼IT专家JP Liew近期发现了此次的漏洞,当时他想登陆myGov来提取在线税务记录,却发现看到的是他妻子的。
Liew录制了一段视频进行展示——点击myGov邮箱中的1个链接下载1份PDF版信件后,会产生1个“cookie”(储存在用户本地终端上的数据),它可以让用户登入税务局的网站ato.gov.au。
由于点击PDF的链接不会打开ato.gov.au的浏览器页面,因此,那个页面不会被关闭,“cookie”也不会失效,意味着下一个登入myGov并点击导向ato.gov.au链接的用户会看到前一个用户的记录。
Liew在视频中说:“我刚刚花了约1个小时打电话给4个myGov 的技术支持人员来解释,其网站上有个严重的故障,在共享电脑和浏览器的情况下会暴露彼此的税务局信息。在职场和公共图书馆,这(共享电脑)是非常普遍的。不过,他们似乎都没有理解我的意思。”
税务局声称本周已修复了问题。Liew也在对方提出安全担忧后删除了YouTube 的那段视频。
有安全分析师认为,其它政府服务,包括Medicare和Centrelink,也很可能存在该缺陷。
税务局并未透露该缺陷存在多久了,但声称知道会出现的背景非常有限——第1个用户登出myGov之前没有登出税务局网站(或登入没有自动过时),以及2个用户使用同个设备和浏览器。
人类服务部的发言人表示,myGov方面没有故障,此次问题是税务局那边的。
CQR Security的创始人科尼克(Phil Kernick)也指出,删除“cookie”的责任在接入myGov的机构身上,而不是myGov本身。
不过,安全研究员库布里洛维奇(Nik Cubrilovic)声称故障的起因根植于myGov及其SSO流程的结构,以及认证用户这个非常基础的板块。
一年半前他曾致信人类服务部,提出修复至少12个myGov安全问题的建议,但目前仍有一半没有得到实施。当中最简单的就是让用户明确知道要通过哪个渠道来举报故障。
|
转载声明:
本文为转载/编译发布,仅代表原作者或原平台态度,不代表我方观点。AdelaideBBS仅提供信息发布平台,文章或有适当删改。对转载/编译有异议和删稿要求的原著方,可联络[email protected]。
免责声明: 本网站所提供的信息,只供参考之用。本网站不保证信息的准确性、有效性、及时性和完整性。本网站及其雇员一概毋须以任何方式就任何信息传递或传送的失误、不准确或错误,对用户或任何其他人士负任何直接或间接责任。在法律允许的范围内,本网站在此声明,不承担用户或任何人士就使用或未能使用本网站所提供的信息或任何链接所引致的任何直接、间接、附带、从属、特殊、惩罚性或惩戒性的损害赔偿。