近期台灣疫情嚴峻,全台各縣市相繼傳出確診病患,除了政府、醫護人員一刻不敢鬆懈外,全台民眾的生活也受到不少影響,為了不讓疫情擴散,政府先前推出實聯制政策,民眾如今走到哪都需要進行該程序。然而,刑事警察局本月22日接獲情資,指出由民間科技公司推出的「防疫實聯衝衝衝」LINE官方帳號,隱藏大量個資外洩疑慮,且該帳號啟用後,已經有多達上百萬人加為好友。對此,刑事局科技犯罪防制中心主任林建隆透露,目前該帳號已經停止服務,但用戶個資是否已經外流,仍有待後續進一步追查。1
「防疫實聯衝衝衝」的LINE帳號,用戶加入綁定完成、輸入的個人姓名電話後,之後去店家便可以無需再填寫,只需要掃描店家QR Code即可進入,而且還有28天的行蹤紀錄,在進店實聯制剛推行之初,唐鳳的簡訊實聯制尚未上路之前,靠著方便性獲得許多網友使用。
根據全國法規資料庫所記載「個人資料保護法」第一章總則第一條,為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
而時下熱門的大數據技術,透過業者所大量儲存使用者的使用紀錄,將這些資料透過巨量分析與資料探勘等方式,萃取出有用或可供預測的資訊,可幫助業者瞭解使用者行為、進而發展新服務,此大數據技術為資訊經濟開創新的時代,也對科學與商業帶來極大利益,同時也影響國家政策的方向,譬如災防告警系統、天然資源最佳化與資訊基礎建設等。2
但一般人經常於未知情下被他人蒐集與其個人有關之各種資料,滋生隱私侵害疑慮,另外近日民眾反映有疑似詐騙集團假冒疫調人員向民眾騙取個資,若有疑慮可利用刑事警察局165反詐騙諮詢專線查證。
指揮中心表示,指揮中心不會向民眾詢問銀行帳戶、身分證字號等,更不會要求匯款、保管帳戶,民眾應特別注意,也可反問「我的接觸者是誰」,辨識真偽。
指揮中心強調,散播假訊息構成犯罪,會被判處最高三年有期徒刑或併科三百萬元罰金。提醒民眾,收到來路不明訊息多加留意丶查證,切勿轉傳散播,以免觸法。
甚至以前SARS期間衛生署疾管署就曾接獲民眾反應:有自稱是「衛生署疾病管理局」人員,電話通知不知情民眾,政府將有補助款加強防治SARS防護設備新台幣五千元到一萬元不等費用,供其購買消毒水、口罩等防疫用品,並要求民眾持提款卡至自動櫃員機辦理轉帳,以便撥款事宜。
可見詐騙集團會利用當下流行之話題輿論來間接騙取個人資訊,那為什麼需要這些資料呢?
這些資料有助於提高社交工程的成功率 …
什麼是社交工程?
在電腦科學,社交工程指的是通過與他人的合法交流,來使其心理受到影響,做出某些動作或者是透露一些機密資訊的方式。這通常被認為是欺詐他人以收集資訊、行騙和入侵電腦系統的行為。在英美普通法系,這一行為一般是被認作侵犯隱私權的。 歷史上,社交工程是隸屬於社會學,不過其影響他人心理的效果引起了電腦安全專家的注意。 維基百科
還有一種解釋,社交工程 (Social Engineering) 係利用人性弱點,應用簡單的溝通和欺騙技倆,以獲取帳號、通行碼、身分證號碼或其他機敏資料,來突破校園的資通安全防護,遂行其非法的存取、破壞行為。
常見的社交工程攻擊方式如下︰
1. 利用電話佯裝資訊人員,騙取帳號及通行碼。
2. 偽裝委外廠商之維護人員或上級單位人員,乘機騙取帳號及通行碼。
3. 利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼,如網路釣魚。
4. 利用電子郵件誘騙使用者開啟檔案、圖片,以植入惡意程式、暗中收集機敏性資料。
5. 利用提供工具、檔案、圖片為幌子,誘騙使用者下載,如偽裝的修補程式 、 p2p 下載軟體、工具軟體等,乘機植入惡意程式、暗中收集機敏性資料。
6. 利用即時通訊軟體如 MSN ,偽裝親友來訊,誘騙點選來訊中之連結後中毒。
社交工程雖然利用人性弱點來騙取機敏資料,讓人覺得防不勝防,但如果能隨時提高警覺,不未經確認即提供資料、不開啟來路不明的電子郵件及附加檔案、不連結及登入未經確認的網站、不下載非法軟體及檔案,就能避免社交工程的攻擊傷害。
如何利用社交工程?
我們不鼓勵利用工具來侵害別人的權利,但是如果作為白帽駭客練習用,就能夠更加防範這類型的工具,這邊可參考本網站團隊撰寫社交工程工具文章。
個資為何如此重要?
根據臺灣個資法的規定: 自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、及其他得以直接或間接方式識別該個人之資料。(Source:個人資料保護法-全國法規資料庫)
換句話說,擁有你這些資訊,利用你的身分做出更多非法的行為,來獲取暴利,且導致所有證據都指向你(畢竟資料都是你的吧),那後果不堪設想。
另外個資是無法輕易修改的,因此當你的個資被蒐集或是洩漏在網路上時,你的資訊就永久的被別人知道了。當然還是能改啦,就花時間囉!
該怎麼知道自己的個資被洩漏?
【資訊安全】台灣抓漏小天使,查詢你的個資是否外洩!
這是由AIS3專題下的產物,以下是作者說明。
本作品為教育部資訊安全人才培育計畫 108年度新型態資安暑期課程 AIS3 2019 資安實務專題競賽之產物。
為什麼想寫這個網站?
看到 2019 年 7、8 月連續有大量的個資外洩事件被報導出來,大多數機構也並不會主動通知使用者個資外洩事件,故想出了利用單向去識別化的方法幫助使用者確認自己是否在影響範圍內。希望台灣的資訊安全觀念可以更進一步的提升,被洩露資訊的單位也能向主管機關以及使用者通報。在 2018 年國泰航空的外洩事件中,很不幸的,我中獎了。但是公司主動通知使用者,並提供 Experian IdentityWorks 個人資料追蹤系統的使用權的做法讓我感到很欣慰,希望台灣的機構也能效法,讓所有人為了個人資料的保護盡一份心力。
主要想法構思來自 Have I Been Pwned 以及 Experian IdentityWorks 兩個網站。
然而個資被洩漏,會造成民眾對該企業或政府的強大不信任。
這個專案因持續受到政府與企業單位關切,原專案發起人不堪其擾,而移轉至香港商 Starlight Systems Company 公司。
最後,我們該怎麼辦?
既然個人資料很重要,我應該如何保護在網路上的個人資料,不要讓它被偷走呢?平常我們上網的時候,常常會需要在網路上留下個人資料,像是加入成為某一個網站的會員,或是在網路上買東西、參加抽獎活動,各位同學可以注意一下你使用的網站是不是有提供「隱私權聲明」或是「隱私權政策」這一類的說明,在這個頁面裡,網站的管理人員會告訴上網的人你在這個網站輸入的個人資料會怎樣被使用和保護,這些說明文字通常有點困難不容易理解,各位同學可以請家長或老師解釋給你聽,幫助你一起判斷這個網站是不是可以信任的,再決定要不要在網站留下資料,絕對不要想說看不懂就算了,就直接填寫資料喔!
謹慎點選網路上的超連結
網路上還有一些會偷走我們個人資料的陷阱,也就是所謂的「惡意連結」,這些「惡意連結」常常會假裝是好聽的音樂或是好玩的小遊戲,欺騙我們去點選下載,當我們點選之後電腦可能就會中毒,歹徒就可以利用電腦病毒把我們存在電腦裡的個人資料和其他重要資料通通搬走。在這裡要提醒各位同學,當你要點選網路上的連結時,一定要先停下來想一想,確定這個連結是可以信任的、安全的再點選喔!4
因應新冠肺炎疫情,疾管署持續加強疫情監測與邊境管制措施,國外入境後如有發燒、咳嗽等不適症狀,請撥打「1922」專線,或「0800-001922」,並依指示配戴口罩儘速就醫,同時主動告知醫師旅遊史及接觸史,以利及時診斷及通報。
- 三立新聞網 – 百萬人加好友!防疫實聯衝衝衝疑外洩個資 LINE急下架
- 葉志良 – 大數據應用下個人資料的法律保護
- 遇到詐騙集團假藉疫調騙個資,指揮中心:可向165反詐騙專線求證
- 如何保護網路上的個人資料?