推 ryan890812: 欸不是OAO 加上電話欄位不就是為了避免被有心人士亂按 12/30 16:30
→ ryan890812: 兌換嘛OAO 結果是可以被查出來的嘛OAAAAAAO 12/30 16:30
沒錯,相信音樂的門只關了一半,而且也完全沒公告,資安角度看瞎到不行
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:31:28
推 ryan890812: 我剛剛也看了一下 直接call api就可以 資安到底在幹嘛 12/30 16:33
正解,而且query出來的不只是電話而已,剩下的就不多說了,只能說這個網站完全沒有
任何資安可言
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:36:10
推 Yshing1206: 多事之秋演唱會在即,所以扭蛋之亂2.0我本不想再罵, 12/30 16:38
→ Yshing1206: 但相信音樂真的是(怒怒怒! 12/30 16:38
推 Chricey: 剛開始吃UC2,期待 12/31 08:51→ Yshing1206: 這公司擁有人類平均智商的到底有幾個? 12/30 16:39
推 ryan890812: 我看到json了...細思極恐所有資料都可以query到欸 12/30 16:40
推 riss: 太搞笑了,該慶幸自己沒有參戰嗎 12/30 16:41
推 weitn29: 好唷~所以有心人要撈到所有資料,個資就外洩了? 12/30 16:43
推 Kroner: 剛開始吃UC2,期待 12/31 20:42→ Yshing1206: 你相信音樂TMD快改啊!糙! 12/30 16:44
推 sophymayday: 居然! 相信音樂有在保護歌迷資料嗎? 太扯了吧! 12/30 16:44
其實這個洞還是需要有正確的日期+訂單編號兩者同時匹配上才能夠找出來
因此除非暴力解或是運氣很好剛好猜到,否則還是不會找到電話號碼的
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:46:02
推 kk2245514: 這個個資外洩…… 12/30 16:45
→ sophymayday: 剛剛另篇看有人推文擔心螢光棒app安全不用,我還想 12/30 16:45
→ sophymayday: 說應該不會吧,沒想到相信音樂真的不能讓人信任欸 12/30 16:45
螢光棒App倒是不用擔心,就是BLE協定而已,沒什麼個資問題,可以放心
推 ryan890812: 我看懂原理了== 在SearchResult的網頁相因自己就這樣 12/30 16:46
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:47:15
推 sophymayday: 呼~原PO解釋完,我安心多了~ 12/30 16:48
推 hanji77: 這操作好猛... 12/30 16:56
推 sappheiros: 現在查不到了,"userPhone" is required。 12/30 16:59
推 ryan890812: 好 修掉惹 12/30 16:59
→ ryan890812: 但他回傳的json還是包了全部的資料 扯== 12/30 17:00
大家可以回家了,相信音樂修掉了,看來相音還是有駐板人員在XD
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:02:32
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:12:10
推 linjuju: 上了一堂資安,哈哈 12/30 17:19
推 withmusic: 和朋友的4連號現在有3張查不到,相音提供的手機後3碼也 12/30 17:20
→ withmusic: 不是我們原本登記的電話,現在也等不到回信(無奈 12/30 17:20
推 oscar8721184: 欸現在我怎麼都查不到…… 網站有修好嗎? 12/30 17:29
推 ryan890812: 樓上看要不要再寄信給客服並提供手機請他們回撥,說可 12/30 17:29
→ ryan890812: 以提供刷卡資訊給他們驗證訂單本人 12/30 17:30
→ wendy00558: 昨天寄信到現在 完全沒收到回信 很棒~ 12/30 17:35
推 sadaharu: 相信音樂真的讓人無法相信,跟取名一樣,缺什麼名字就 12/30 17:36
→ sadaharu: 叫什麼!! 12/30 17:36
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:40:28
推 karenaashin: 可是我進去查還是有電話欄位,而且還是查無,怎麼這 12/30 17:41
→ karenaashin: 樣 12/30 17:41
K大趁現在漏洞又開,先用我的網站趕快找回自己的扭蛋吧
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:42:10
推 linjuju: 我也還是要電話 12/30 17:41
→ linjuju: 查了就顯示Network error 12/30 17:42
推 hsiuching: 我的也還要電話,而且跟l大出現一樣的訊息(我原本輸入 12/30 17:44
→ hsiuching: 電話訂單都正常)這麼多天了這系統還沒處理好... 12/30 17:45
推 yvette1107: 我用A大的網址查,居然出現未報名,可是登記隔天2筆訂 12/30 17:46
→ yvette1107: 單都有查到成功和扣款 12/30 17:46
推 hsiuching: 看來這扭蛋之亂沒完沒了... 12/30 17:47
推 sappheiros: 那個網站資料比對不到都是顯示未報名,但不一定真的沒 12/30 17:47
→ sappheiros: 報名。 12/30 17:47
推 karenaashin: 還是一樣啊!打了正確的電話還出現五迷知道了 12/30 17:47
K大你不介意的話可以站內我日期+訂單編號,我幫你試試看
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:49:23
推 oscar8721184: 感謝原Po大大 已經查到電話了 12/30 17:55
→ oscar8721184: 但那個網站還是顯示 Network error 超鳥…… 12/30 17:55
→ oscar8721184: 我的情況同樓上Karen大 打了正確資訊還是error哈 12/30 17:57
現在會Network Error超正常,因為相音工程師把正確API URL指去localhost了
我現在懷疑工程師是不是當大學生專題在做了...
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:59:42
推 sappheiros: 應該是緊急改程式,上版沒改好,localhost也太妙。 12/30 18:07
有好好寫測試的話根本不該發生這種低級錯誤,在正式環境發布成localhost真的超瞎
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 18:09:56
推 minnie1218: 一開始扭蛋網站也是顯示錯誤,但剛剛再去試一次已經可 12/30 18:55
→ minnie1218: 以成功查詢到了~大家可以再去試看看噢! 12/30 18:55
推 axixi: 看到這篇文也去查了一下,結果跟樓上一樣... 12/30 19:01
推 zyyy151: 六點半的時候查一直出現五迷知道了,但剛剛再去查就有跑 12/30 19:03
→ zyyy151: 出報名序號了!希望明後天也可以順利跑出序號QQ 12/30 19:03
推 Yshing1206: 剛查我2筆都正常,我當時是直接用手動打電話號碼,不 12/30 19:05
→ Yshing1206: 是剪下貼上,不知這樣是不是有影響? 12/30 19:05
→ casekinkong: 查不到,都是電話錯誤啊… 12/30 19:05
→ Yshing1206: 當時剪下貼上的人,如果還是不行,之前是先存在哪裡 12/30 19:08
→ Yshing1206: 等報名的時候直接剪下貼上的,不如重演一次看看吧 12/30 19:08
推 zyyy151: 我報名時是複製貼上的,查詢目前都有出現序號!不知道問 12/30 19:08
→ zyyy151: 題出在哪…. 12/30 19:08
→ Yshing1206: 因為網站看起來修改過,也非常的陽春,我在想有沒有可 12/30 19:15
→ Yshing1206: 能記憶了當時的格式,所以現在用手打數字進去就不一 12/30 19:15
→ Yshing1206: 樣了XD 12/30 19:15
推 oscar8721184: 比較常見的就是複製貼上 沒注意到會多打空格 12/30 19:37
→ oscar8721184: 畢竟空格根本看不出來 12/30 19:37
推 wendy00558: 我是手動輸入的 12/30 19:38
推 oscar8721184: 反正電話號碼不對就試試加個%20 12/30 19:41
推 tips1222: 我手打手機號碼都查不到,前面加上一個空格就查詢到了 12/30 20:15
推 yanice427: 朋友七點查到,現在又查不到,到底相音在玩什麼QQ 12/30 20:44
推 mahoyazi: 我查詢全都是電話號碼錯誤,相音又不回信,明天該怎麼 12/30 20:56
→ mahoyazi: 辦呀… 12/30 20:56
推 Faoitohins: 有心人要撈應該可以撈? 台灣人個資真的很好賣的QQ 12/30 21:25
若有板友是明天12/31場次,但是登不進去扭蛋系統的請站內我訂單編號
我可以協助你查詢,這次的方法比較偏我就不公開了
暫時僅幫忙12/31的,其餘日期請先找相信音樂優先
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 21:31:28
推 b731863888: 趕快把別人的扭蛋都給他對換掉,這樣相信才會重視, 12/30 21:32
→ b731863888: 超扯的資安,有跟沒有一樣,這個可以報案個資外洩吧 12/30 21:32
推 oscar8721184: 這次就要漲價使用線上付款 結果搞得問題一堆 唉 12/30 21:57
推 nicky0619: 三顆只查到兩顆…傻眼。 12/30 21:58
推 mevellous: 我付款完就沒查了 反正票在我手上 資料也都是我 不可能 12/30 22:05
→ mevellous: 現場查不到吧OAQ 12/30 22:05
推 sophymayday: 我覺得明天問題很多,他就會改成用截圖也可以XD 12/30 22:31
推 sappheiros: 用截圖機率不大,因為沒兌換要退款。除非又有其他配套 12/30 22:35
→ sappheiros: 措施。 12/30 22:35
推 b731863888: 反正資料外流把幾千人的都給兌換這樣就好了,讓大家 12/30 22:52
→ b731863888: 沒得抽很棒,爛死了的資安,由夠扯,個資外流都沒事 12/30 22:52
推 nicky0619: 剛剛再試查查不到的那顆,突然又查得到了 12/30 23:46
推 aishiteru816: 剛剛重新把自己報名成功的場次都查過 12/31 00:24
→ aishiteru816: 是都有出現資料的,目前查還是要輸入電話 12/31 00:24
推 smartfen: 慘了看不懂 12/31 01:01
推 f12345678900: 一個相關科系 就可以找出漏洞 這家公司真的很神奇w 12/31 04:34
推 axixi: 有點擔心今天扭蛋的狀況...@@ 12/31 08:51
→ jiunmoon: 可能會先網路塞車吧,那邊訊號也不怎好 12/31 11:54
→ loneblast: 推 12/31 14:05
推 mimzyzhu: 突然想到我刷完扭蛋就被盜刷3290遊戲幣了QQ不知道跟這 12/31 20:42
→ mimzyzhu: 次有沒有關係 12/31 20:42
推 a927mayday: 請問扭蛋時 12/31 22:31
→ a927mayday: 需要註冊時的電話嗎 12/31 22:31
推 wallyisme: 現場扭蛋服務區可以查電話號碼 01/01 01:21