跳至主要內容

觀察台灣租車公司資料外洩事件和國外的類似個案

圖片
作者:

一月底時,TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的後續報導是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報 TWCERT/CC 協助處理,也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀:

Equifax資料外洩案:

2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。

連結:Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼(Unique Device Identifier,UDID)、地理位置資訊和從第三方網站購買的資料。

2018年時,Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡,被有心人士取得帳號密碼後,登入雲端服務,並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊,並發表公開聲明表示會有完善的保護措施。結果2020年,也就是2年後,又被駭客駭入其中一名員工的帳戶,並外洩250萬筆消費者的個資,並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料,並限制他們收集消費者的個資,要求這家公司指派專門的高階主管來處理資訊安全,並且設立不同等級的權限,而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰:在FTC公布處罰命令的10年內,這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職,可能是擔任大股東、執行長或負有資安責任的主管時,FTC的執法命令都會跟著這位前執行長,他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結:FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律,更或是直接拿歐洲的GDPR來看這個事情,台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件,雖然發起了集體訴訟,但最後的賠償金額並不高。

台灣人沒有興訟的文化,也喜歡以和為貴,在管制程序及政治文化上都不太一樣,所以後續大大小小的網路服務、網站出現資料外洩時,可能還要先找到對的主管機關才能投訴,或是一般民眾不熟悉、也不想了解投訴的流程,被資料外洩的人也是雙手一攤,要自己小心。

台灣這次的資料外洩事件在網路上流傳開來,有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹,涉及的公共服務層面非常廣,也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法,相信不會因為這個事件讓受害者去更換身分證號碼,所以換身分證應該是很難成功,但應該是可以剪卡,避免信用卡被盜用。

這件事可以從兩個方向來思考:

  1. 外洩資料的公司要做哪些補救措施?有沒有可以協調的空間?我不建議一下就用法規去處罰,這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
  2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺?如何讓受害人證明自己的身分?重建身分需要哪些主管機關、單位配合?有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具?如果消費者受到損害,決定要進行訴訟時,有哪些管道?有沒有相關的依據?這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時,協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險,也許要看相關的主管機關 (哪個部會?)的處理意願吧?

當然獨立自強的台灣人也不妨想想,當自己的「身分」被竊取時,要如何證明「我是我自己」,當所有的「身分」、「頭銜」都喪失時,我又是誰?


Image by Mohamed Hassan from Pixabay

標籤

Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

公告:更換網址為 www.yingchu.net

作者:
使用「.tw」域名的網址已有一段時間,在台灣的春季連續假前一天,我決定把域名自原本的 「.tw」 改到「 .net 」,從國家及地區頂級域名(ccTLD)更換為通用頂級域名(gTLD)。對一般人來說,只是換個網址,但實際上更換域名不僅影響網路搜尋引擎排名,也因我無法設定舊網址自動跳轉到新網址(301 頁面),加上我平時較少使用社群平台,導致許多瀏覽者可能無法得知我已更換網址,RSS 讀者也無法自動收到新文章。 目前我只能在 X(twitter)、LinkedIn上公告我已更換網址。 請大家更新自己的書籤至「 https://www.yingchu.net 」,有使用 RSS Reader 習慣的使用者也更新至「 https://www.yingchu.net/atom.xml 」或「 https://www.yingchu.net/feeds/posts/default 」。 更換域名的原因 1. 費用因素 自 2014 年開始使用「.tw」域名,每年付台幣 700 元,使用已超過 10 年。當時選擇「.tw」,除了想告訴瀏覽者這個文章作者來自台灣外,「.tw」比「.com」或「.net」每年維護費用便宜近 50%。這期間我也曾購買其他新頂級域名(New gTLD),如「.world」、「.asia」等,並使用不同註冊平台。有些平台為吸引新客戶不時推出特價活動,例如我一直關注的「.net」近期就有優惠。同時,移轉服務商後「.tw」的維護費用也低於 HiNet,進一步強化我更換域名的意願。 2. 較友善的管理介面 原本透過 HiNet 購買的「.tw」域名,其後台介面不夠直覺,常常找不到設定功能。每年僅登入一次,幾乎無法記得操作流程。今年登入時才注意到其實有提供多因子驗證(MFA)功能,但過去完全未曾留意,也從未收到相關通知。自 2014 年至今,我印象中這個系統介面僅更新過一次,早期的版面文字更小、操作不便。 當我在其他服務商購買「.net」域名後,發現他們的介面在手機與電腦上皆清晰易用。因此我也將其他域名集中轉移至同一註冊商管理。新的註冊商同樣提供 MFA,我也不儲存信用卡資料,讓集中管理更加輕鬆安全。 3. 無法接受「.TW」註冊局(registry)的政策 促成我犠牲 10 年 SEO成果的臨門一腳,是因為收到一封台灣ccTLD管理者(即註冊局,台灣的註冊局...
發佈留言
閱讀更多

台灣成立個人資料保護委員會的重要性

作者:
我在2018年6月7日去聽 PChome 的詹宏志董事長的 演講 ,他在演講中提到過去PChome被 DDoS 攻擊的事件。當他知道公司網站受到攻擊時,他不知道該向誰通報,只好藉由他的人脈網來尋求協助,當然也取得協助,並在他的考量下,儘量降低對公司聲譽、消費者權利的風險。 台灣發生過的真實案例 當我聽到這個經驗後,心中一直有個疑問:「當大企業遇到 DDoS 時,有內部資安管理人員全力處理。但若中小企業遇到 DDoS 時,除多功能的資訊服務團隊外,又該如何應對?」  2007年的博客來網站因為金馬影展的售票資料庫因為人為疏失,造成大量個資外洩,但因為當時的《電腦處理個人資料保護法》(即現在的個資法)還不是很完善,所以對當時的博客來而言並未有很嚴重的懲罰。 之後隨著網路愈來愈普及,網站因遭受攻擊造成資料外洩的事情愈來愈多,從會員資料庫外洩到癱瘓公司系統甚至導致醫療系統或網站癱瘓。,大家也開始藉由網路媒體教學,當自己的資料外洩,或是私密影像被惡意傳播時,就會先去警局報警備案。 在台灣,因為各目的事業主管機關的權責範圍不同,在沒有成立數位發展部(數位部)前,網路商店發生資料外洩時,可能會先找經濟部、國家通訊傳播委員會(NCC);在成立數位發展部後,就把所有責任給數位發展部。讓我很感慨的是2023年的 醫指付個資外洩事件 ,就看著衛福部、經濟部、數位部、金管會四個部會互踢皮球,都不認為自己是應該負責的目的事業主管機關,最後由金管會處理。 歐盟GDPR實施後對全球企業的影響 台灣的人權團體長久以來不斷倡議台灣需要獨立的個人資料保護機構,這件事我一直都沒忘,甚至是在討論 《數位中介服務法》 草案時,這部法的草案已經將個人資料保護機構應做的事已規劃至其中。可惜的是因為政治操作,這部法案就被遺忘了。 我在 2022 年開始蒐集全球個資保護與隱私保護的案件及觀察全球人工智慧、個人資料法規發展,我觀察到,台灣與收集的案例的最大不同處在於,與其他國家比較,台灣沒有獨立的個人資料保護單位,自然當其他國家在談資料跨境傳輸協議、人工智慧發展政策與規劃時,台灣沒有對等的單位可以參與討論,也許數位部同時身兼這樣的角色,但就不是前段所提到的「獨立」的權責機關。 歐盟的GDPR自 2018 年 5 月開始實施後,許多國家開始思考擁有資料保護及所有權的重要性而紛紛立法外,GDPR也對全球企業造成很...
發佈留言
閱讀更多

To Regulate or Not to Regulate? About AI technology

作者:
I borrowed the title of the forum this afternoon . Actually, I attended two webinars about AI today.  One forum focused on the debate about regulating AI development in Taiwan. The discussion was fruitful, as the panellists shared their experiences and knowledge about different AI regulations across various countries. Besides Taiwan, they discussed the European Union, the US, Korea, and China. Korea, for instance, published their "Act on the Development of Artificial Intelligence and Establishment of Trust" (AI Basic Act) at the end of 2024. However, before this, the Korean government had already established good data governance through three essential acts: the Personal Information Protection Act, the Network Promotion Act, and the Credit Information Act. These laws, along with their MyData applications, built a strong foundation for strategies like the Data Dam, a centralized platform for securely collecting, storing, and processing large-scale data, which supports AI devel...
發佈留言
閱讀更多