連江縣環境資源局 計畫成果報告、查核資料雲端硬碟外洩,含有個資 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-01039
  •  發信 Vendor: 連江縣環境資源局
  • Title: 連江縣環境資源局 計畫成果報告、查核資料雲端硬碟外洩,含有個資
  • Introduction: 計畫成果報告等文件外洩、內含有查核資料的雲端硬碟連結且未限制讀取權限,且查核資料中含有個資

處理狀態

目前狀態

公開
Last Update : 2024/11/05
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2024/09/05 00:01:49 : 新提交 (由 ywc 更新此狀態)
  • 2024/09/05 00:04:43 : 新提交 (由 ywc 更新此狀態)
  • 2024/09/05 17:18:52 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:49:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:49:21 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:49:21 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/11/05 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-01039
  • 通報者:ywc (ywc)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.matsuerb.gov.tw/upload/d-20230203130139.pdf
https://www.matsuerb.gov.tw/upload/f-20230606081738.pdf
https://drive.google.com/drive/folders/1UwqFXZ7tRqK_yyGNpfXUP_kh1AYmXTmq
https://www.matsuerb.gov.tw/upload/d-20220119122309.pdf
https://drive.google.com/drive/folders/17Xsm_VIBz-nDn1Zo9g9stk5py-ha_3hZ

敘述

使用 google dorking,可找到「連江縣111 年度環境教育行動方案成果報告」、「111年度連江縣環境教育專案計畫委辦案」和「連江縣環境資源局110年環境教育專案計畫」文件
語法: "drive.google.com" site:matsuerb.gov.tw filetype:pdf

圖片

查閱前二篇文件,可發現他們都連結到同一個雲端硬碟

圖片
圖片

查看雲端硬碟,可發現內容為各單位組織的查核資料,像是名冊、佐證資料等

圖片

在其中部分的檔案內容中(e.g. 02福建連江地方檢察署/02申報課程內容及學員相關佐證資料/110連江環境教育簽及簽到表.pdf),可發現個資資訊如姓名、身分證字號、簽名等

圖片

而在「連江縣環境資源局110年環境教育專案計畫」文件的部分也類似,裡面也可以看到另一個查核資料的雲端硬碟,且在部分檔案(e.g. 06連江縣縣立介壽國小/申報員工(班級)清冊/教職員工清單_109-1.xls)中也可以看到個資如姓名、身分證字號、聯絡信箱等資訊

圖片
圖片
圖片

修補建議

限制雲端硬碟瀏覽權限
限制成果報告、計畫委辦案、專案計畫文件存取權限

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;