跳至主要內容

觀察台灣租車公司資料外洩事件和國外的類似個案

圖片
作者:

一月底時,TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的後續報導是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報 TWCERT/CC 協助處理,也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀:

Equifax資料外洩案:

2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。

連結:Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼(Unique Device Identifier,UDID)、地理位置資訊和從第三方網站購買的資料。

2018年時,Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡,被有心人士取得帳號密碼後,登入雲端服務,並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊,並發表公開聲明表示會有完善的保護措施。結果2020年,也就是2年後,又被駭客駭入其中一名員工的帳戶,並外洩250萬筆消費者的個資,並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料,並限制他們收集消費者的個資,要求這家公司指派專門的高階主管來處理資訊安全,並且設立不同等級的權限,而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰:在FTC公布處罰命令的10年內,這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職,可能是擔任大股東、執行長或負有資安責任的主管時,FTC的執法命令都會跟著這位前執行長,他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結:FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律,更或是直接拿歐洲的GDPR來看這個事情,台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件,雖然發起了集體訴訟,但最後的賠償金額並不高。

台灣人沒有興訟的文化,也喜歡以和為貴,在管制程序及政治文化上都不太一樣,所以後續大大小小的網路服務、網站出現資料外洩時,可能還要先找到對的主管機關才能投訴,或是一般民眾不熟悉、也不想了解投訴的流程,被資料外洩的人也是雙手一攤,要自己小心。

台灣這次的資料外洩事件在網路上流傳開來,有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹,涉及的公共服務層面非常廣,也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法,相信不會因為這個事件讓受害者去更換身分證號碼,所以換身分證應該是很難成功,但應該是可以剪卡,避免信用卡被盜用。

這件事可以從兩個方向來思考:

  1. 外洩資料的公司要做哪些補救措施?有沒有可以協調的空間?我不建議一下就用法規去處罰,這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
  2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺?如何讓受害人證明自己的身分?重建身分需要哪些主管機關、單位配合?有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具?如果消費者受到損害,決定要進行訴訟時,有哪些管道?有沒有相關的依據?這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時,協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險,也許要看相關的主管機關 (哪個部會?)的處理意願吧?

當然獨立自強的台灣人也不妨想想,當自己的「身分」被竊取時,要如何證明「我是我自己」,當所有的「身分」、「頭銜」都喪失時,我又是誰?


Image by Mohamed Hassan from Pixabay

Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

愛用Google Talk的七個理由

作者:
沒有在幫Google Talk打廣告,只是比起MSN起來,我比較喜歡使用它。比較熟的朋友都知道,我不太愛用IM軟體,因為一直覺得,如果真的忙,何必要在MSN暱稱上掛著忙碌?誰真的關心你有沒有在忙?誰真的關心你心情不好?有的公司為了防止員工把公司機密外洩(老闆是豬頭並不算是機密),也透過網管把這類通訊軟體的port給關掉。 在MSN、Yahoo Messenger很紅的時候,還有不少報章雜誌在稱讚這類即時通訊軟體可以減少溝通時的成本,可以直接和客戶做連繫溝通-可是,有多少人能夠透過「文字」來表達正確的語意?連面對面溝通都能詞不達意了,不是嗎?之後有人靠著畫這些通訊軟體所使用的小圖示發了財,從此一句話裡可能會出現一堆圖案。常常看不懂對方要表達的正確意思是什麼?這樣真的有裝到可愛嗎?正的比較貼近對話者嗎?最討厭的,是那三秒一跳的廣告真是種視覺上的干擾,網頁上不要看的廣告可以用Firefox用ABP擋掉,即時通訊軟體上的廣告好像沒得選擇。 MSN並不是我第一個使用的即時通訊軟體,五專時就開始用ICQ,不過也有很慘的經驗,我的電腦就這麼給人家開了後門。後來在大學時,MSN對我而言是一個工具,因為學校在淡水,不少同學是通勤生,有時候分組報告需要討論時,有的同學接下來還有課,有的同學早就離開學校,大家約一個時間一起上線討論,還算是個不錯的工具,但是,詞不達意是一回事,就算有群組討論,還是另開視窗和別人討論有的沒的事,更別說只要坐在電腦前就受不了網路其他的誘惑,有的人邊打電玩邊討論,有的人邊逛購物網站邊討論,有的人和其他人聊天打屁忘了在討論的主題…一點效率也沒有。悶在辦公室的時候,還準備了兩個MSN帳號,一個上班時用,一個在家裡用,也許我有迫害妄想症,我沒辦法相信辦公室的電腦,只要是「公用」電腦就會讓我疑點重重。 有兩年的時間我都不怎麼開MSN,真的非必要才會開,在 Skype還沒那麼紅的時候也曾裝過,通訊良好,不過那個年代還沒有那麼流行透過即使通訊來傳語音,而且影像和聲音通要傳遞的話,頻寬要夠。 不知不覺,即時通訊軟體已經變成辦公室必要軟體,還是有人堅持不使用IM,我算是被說服了,不過,我選擇了Google Talk,原因如下: 整合到自訂首頁裡 -Google的自訂首頁現是是我開啟瀏覽器後的首頁,在登入後就可以看到自己想要看的訊息,而且現在還可以自訂佈景主題哦!這比起P家亂七八...
4 則留言
閱讀更多

美好的一日(1)-第16屆國際書展

作者:
第十六屆台北國際書展 日期:02/13至02/18 網頁連結: 第十六屆台北國際書展 照片: 20080214台北國際書展 對於國際書展的唯一印象就是又吵又熱又悶,和資訊展一樣,雖然從第七屆國際書展開始參加,但這兩年都沒有參加的記錄,還記得去年是看到新聞播報書展結束才想起來有這回事。由於現在買書的管道很多,所以在書展買書的慾望並不高。今年想去的原因其實不是書展,而是可以見到很久不見的朋友優狗。 大概是十二點多買票進入展場,今年的票多了個看似仿偽的貼紙之類的東西,很特別,我也很喜歡票上的娃娃。進展場後第一個吸引到目光的是主題館之一的「最美麗的書」,陳列許多難得見到的裝訂本,最吸引我的是兩本繪有曼陀羅藏文書籍和朱禧千字文,仔細看千字文的封面,那是木刻的文字,而且是反的,也就是可印刷。 之後是旁邊的「旅行文學主題館」裡面展示的是攝影作品和歐洲地區的漫畫,但我逛得心不在焉,主要是因為很久沒見到優狗,所以也嘰哩呱啦的說個沒停,只有最後一個區域的投影書引起了我的注意。 逛著逛著到了主題廣場,優狗在書林的攤位看書,而我則去主題廣場看座談會,主講者是《偷書賊》的作者馬格斯‧朱薩克(Markus Zusak)和郝譽翔,另外有一位翻譯和主持人。大多數的人都在問朱薩克關於寫《偷書賊》的心路歷程,最有趣的是台下有位聽眾問他如果遇到死神會說什麼?印象最深刻的是作者提到在創造了這個溫柔的死神角色後,家鄉的老人看了這本書後覺得死神似乎也不是那麼恐怖的了。但由於現場的光線很熱,幾乎都打在台上,偶爾可以見到作者疲憊的眼神。中間也有服務人員在問聽眾有沒有人要讓作者簽書,可惜我沒有注意到今天有他的座談,不然再重也會帶去。由於多數人都向《偷書賊》的作者提問,最後主持人出面轉由郝譽翔開始講她個人的寫作經驗。基於之前中時那支扔《追憶似水年華》的短片,雖然是劇情需要,但我還是轉頭對身旁的優狗說:「我們走吧!」 中間幾次曾經分開逛,後來我逛到電影館,裡面正在播放開幕片《 羅浮宮謎情 》。問我會不會後悔花錢去電影看片?一點也不會,在現場的座位並不是那麼舒服,而且一旁C209攤位還有人拿著大聲公在促銷,非常差勁。 與優狗碰面後,我們前往三館,原本是想看看繪本和文具,結果一入場看到的都屬於幼兒童書,三館的攤位人員拉人拉的比一館還兇,已經到了令人反感的地步。三館有些主題很不錯,在文具區裡有看到台灣本土的文具品牌,雄獅和利...
2 則留言
閱讀更多

為什麼我支持《數位中介服務法》草案

作者:
在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...
22 則留言
閱讀更多