續約簡訊讓用戶個資全都露！遠傳：已關閉服務

遠傳近日向申辦499方案的用戶寄出續約優惠簡訊，不料被用戶發現簡訊內含有資安漏洞，恐讓其他用戶個資「全都露」，消息一出引發外界關注！遠傳已證實此事，表示確有疏忽，已經關閉續約簡訊的客製化服務，同時主動聯繫少數有查詢他人個資的用戶，必要時會配合警方調查。

事件的起源是有用戶向媒體投訴，指遠傳的續約簡訊內含資安風險。由於簡訊內附的網址結尾是以手機號碼作為區分，只要換成其他遠傳用戶的手機號碼，就可直接查看別人的個資，包括姓名、住址、電子郵件、身分證字號等。

遠傳表示，感謝用戶指正，已經關閉續約簡訊的客製化服務，欲續約的用戶仍可經由官網登錄完成程序。

另外，遠傳也清查系統，檢視是否有不法人士透過漏洞查詢其他用戶資料，確實發現了極少數個案，將主動聯繫這幾位客戶進行了解。對於不當查詢他人個資者，必要時將配合警政單位進行調查並了解用途。

遠傳表示，簡訊續約的設計是為了方便用戶續約，但卻疏於防範有心人士，對此深感抱歉。

電信續約服務網頁傳個資漏洞，遠傳證實並發現少數不當存取個案

有民眾投訴遠傳499續約簡訊中的網址存在漏洞，根據該民眾的說法，由於網址後方竟帶有用戶的手機號碼，因此可以不用高深的技巧，只要變更連結的手機號碼，再透過瀏覽器本身的網頁開發人員工具，就能檢視網頁後臺資料，輕易窺探他人個資。

對此，我們檢視過去遠傳發送的499活動簡訊，網址其實沒有沒有附上手機號碼。不過，以這次該民眾投訴的內容來看，簡訊中的網址末端則是用戶的手機號碼，一般民眾若直接前往這樣的連結，其實會跳轉回遠傳電信官網中，我的續約專屬優惠的首頁，若是已登入遠傳官網，則可以看到像是身分條件暫時無法續約的提示。

為確認詳細狀況，我們在中午詢問遠傳電信，他們的官網是否存在這樣的弱點，以及修復的狀況，而對於影響範圍，也是民眾關心的焦點，是否只有符合續約專屬優惠的用戶才受到這次弱點的影響，還是所有用戶都受影響？

到了今日傍晚，遠傳回應了我們，提供了他們的正式聲明，當中證實了此事。

根據遠傳的說明，他們已經將續約簡訊的客製化服務關閉，雖然沒有提到有多少用戶個資可能暴露，但表示已經清查過去是否有不當存取的事件，發現少數個案，不過沒有提到這些個案存取了多少的用戶資料，只說明會聯繫這些客戶，並將配合警政單位調查。

另外，他們也說明了這項簡訊續約的設計，是他們提供讓特定用戶本人，能以特定連結登入後，能夠看到自己的資料，方便續約。

不過，對於這項機制，後續他們提到，「但是的確疏於防範有心人士，透過其個人電腦背景找尋系統破綻去查看其他消費者的資料」，因此他們表示已在檢討改進。

從上述說法來看，提醒了民眾不要嘗試非法存取，然而，另一方面，以網站安全而言，外部使用者本應無權檢視該頁面內容，看起來，網站本身可能只有在第一次驗證身分，但未能在每個功能或頁面的存取都有驗證機制，因此，網頁可能存在無效存取管控的弱點。