Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01333
- 發信 Vendor: 台南社區大學
- Title: 台南社區大學洩漏4萬多筆機敏資料
- Introduction: 經查某單位管理系統,可透過公開網頁搜尋枚舉超過全台4萬多筆含身分證字號之用戶帳號,且該網站預設密碼為身分證字號,有心人士可輕易登入查閱註冊用戶之姓名、生日、身分證號碼、地址、手機…等大量個資,並可執行線上轉帳支付費用。
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2025/10/13 15:09:14 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 15:13:10 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 15:15:34 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 15:19:59 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 15:38:33 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 16:01:11 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 16:24:14 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/13 19:06:39 : 新提交 (由 鄉民 更新此狀態)
- 2025/10/15 15:56:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/17 13:43:00 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/17 13:43:00 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/17 13:43:00 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/21 15:03:29 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/21 15:03:29 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/21 15:03:29 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/21 15:35:06 : 複測申請中 (由 組織帳號 更新此狀態)
- 2025/10/28 09:20:05 : 未修補完成 (由 鄉民 更新此狀態)
- 2025/10/28 13:04:01 : 複測申請中 (由 組織帳號 更新此狀態)
- 2025/10/30 08:19:53 : 確認已修補 (由 鄉民 更新此狀態)
- 2025/11/03 03:00:28 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01333
- 通報者:鄉民
- 風險:高
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
相關網址
敘述
(以下文字擷取自截圖,建議直接瀏覽截圖)
台南社區大學洩漏4萬多筆機敏資料
紀錄日期:2025年10月13日
一、本案說明
經查台南社區大學-學務管理系統,可透過公開網頁搜尋枚舉超過全台4萬多筆含身分證字號之用戶帳號,且該網站預設密碼為身分證字號,有心人士可輕易登入查閱註冊用戶之姓名、生日、身分證號碼、地址、手機、緊急聯絡人、修課紀錄…等大量個資,並可執行線上選課與轉帳支付課程費用。
二、參考資料
根據ZeroDay已於2025年09月15日公開之漏洞
編號:ZD-2025-00973
網址:https://zeroday.hitcon.org/vulnerability/ZD-2025-00973
概述:網站使用者搜尋功能未設定存取控制,導致使用者資料可被任意查詢
對象:https://en.nses.tn.edu.tw/modules/profile/search.php
三、問題探勘
1、以ZeroDay公布之對象之關鍵字「modules/profile/search.php」至Google以所有中文網頁為條件搜尋,找到一筆台南社區大學-用戶管理(https://tainan.tncomu.tw/modules/profile/user.php)。
2、套入前述關鍵字得到「https://tainan.tncomu.tw/modules/profile/search.php」,進入用戶搜尋畫面。
3、選擇「每頁顯示條目」、按下送出,即可陳列所有帳號,畫面顯示有23筆用戶。
4、但此網站留言板顯示之最近更新日期為2014-11-11,似乎是較舊或已棄用的網站。
5、重新以「台南社區大學」為關鍵字搜尋:
6、可找到目前營運中的網站,網址為「https://tncomu.tw/」
7、重新以關鍵字「modules/profile/search.php」套用網址:「https://tncomu.tw/modules/profile/search.php」,亦可進入使用者搜尋,畫面顯示有124筆用戶:
8、選擇每頁顯示條目、按下送出,即可陳列所有帳號,包含「admin」帳號。
9、繼續深層搜尋子系統是否存在同樣問題,發現在「學員專區/線上報名教學」中於2025-06-29教學中包含以下關鍵資訊:
A、線上學務系統(供學員登錄報名或註冊):「https://ccs.tncomu.tw/」。
B、說明註冊方式採用身分證字號。
C、註冊時必填欄位:姓名、性別、身份證號碼、生日、手機、緊急聯絡人、緊急聯絡電話。
D、並說明重新登入,「填寫帳號(身份證字號)、密碼(預設為身份證字號)」,要求登入後應變更個人密碼以保護個資。
10、文章中後段續說明選課與繳費方式。
四、問題重現
1、進入「三、9」搜尋出的子系統:線上學務系統「https://ccs.tncomu.tw/」,可看到該網站首頁上方2024年12月26日顯示之輪動式資訊:「舊學員登入系統:帳號、密碼皆為個人的「身份證字號」(英文字大寫)」
2、重新以關鍵字「modules/profile/search.php」套用網址:「https://ccs.tncomu.tw/modules/profile/search.php」,亦可如前述網站,進入使用者搜尋畫面,畫面顯示有44174筆用戶(持續增加中),選擇每頁顯示條目、按下送出。
3、即可陳列所有帳號,除姓名外,還包含至少4萬筆身分證字號的帳號。
5、測試「帳號、密碼皆為個人的身份證字號」的說法是否屬實,複製一組身分證字號,並點選之,會進入用戶登入畫面(https://ccs.tncomu.tw/modules/profile/user.php),以身分證字號為帳號、密碼登入:
6、實測的確可以身分證字號為帳號密碼,登入該系統,並使用所有用戶功能。
7、例如點選「編輯個人資料」,即可查閱該用戶之姓名、性別、身分證號碼、E-Mail、生日、手機、地址、學歷…等大量個資,並可進行編輯修改用戶個人資料。
8、點選「編輯帳密」,除可將帳號由「身分證字號」修改為「自訂帳號」,亦可修改密碼。
9、點選「個人學習歷程」,可下載繳費收據。
10、使用前述方法進行更多用戶登入實測,幾乎都可以成功。
11、進行選課報名測試。
12、可成功選課並進入繳費畫面,最終取得線上匯款帳號。
圖片檔如下
修補建議
1、儘速限制該網頁的存取或移除。
2、對用戶進行帳號密碼獨立設置與資安素養教育。
3、檢核大批帳號匯入方式是否合宜。
4、大量而詳細的個資長期洩漏在外,建議尋求警政機構進行數位鑑識,以釐清委外廠商對合約中資安規範的履約程度。