跳到主要內容

觀察台灣租車公司資料外洩事件和國外的類似個案


一月底時,TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的後續報導是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報 TWCERT/CC 協助處理,也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀:

Equifax資料外洩案:

2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。

連結:Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼(Unique Device Identifier,UDID)、地理位置資訊和從第三方網站購買的資料。

2018年時,Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡,被有心人士取得帳號密碼後,登入雲端服務,並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊,並發表公開聲明表示會有完善的保護措施。結果2020年,也就是2年後,又被駭客駭入其中一名員工的帳戶,並外洩250萬筆消費者的個資,並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料,並限制他們收集消費者的個資,要求這家公司指派專門的高階主管來處理資訊安全,並且設立不同等級的權限,而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰:在FTC公布處罰命令的10年內,這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職,可能是擔任大股東、執行長或負有資安責任的主管時,FTC的執法命令都會跟著這位前執行長,他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結:FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律,更或是直接拿歐洲的GDPR來看這個事情,台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件,雖然發起了集體訴訟,但最後的賠償金額並不高。

台灣人沒有興訟的文化,也喜歡以和為貴,在管制程序及政治文化上都不太一樣,所以後續大大小小的網路服務、網站出現資料外洩時,可能還要先找到對的主管機關才能投訴,或是一般民眾不熟悉、也不想了解投訴的流程,被資料外洩的人也是雙手一攤,要自己小心。

台灣這次的資料外洩事件在網路上流傳開來,有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹,涉及的公共服務層面非常廣,也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法,相信不會因為這個事件讓受害者去更換身分證號碼,所以換身分證應該是很難成功,但應該是可以剪卡,避免信用卡被盜用。

這件事可以從兩個方向來思考:

  1. 外洩資料的公司要做哪些補救措施?有沒有可以協調的空間?我不建議一下就用法規去處罰,這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
  2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺?如何讓受害人證明自己的身分?重建身分需要哪些主管機關、單位配合?有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具?如果消費者受到損害,決定要進行訴訟時,有哪些管道?有沒有相關的依據?這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時,協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險,也許要看相關的主管機關 (哪個部會?)的處理意願吧?

當然獨立自強的台灣人也不妨想想,當自己的「身分」被竊取時,要如何證明「我是我自己」,當所有的「身分」、「頭銜」都喪失時,我又是誰?


Image by Mohamed Hassan from Pixabay

留言

這個網誌中的熱門文章

【soundtrack】我所喜愛的配樂大師(1)

我喜歡的配樂大師主要有五位:Gabriel Yared、John Berry、久石讓(Joe Hisaishi)、阪本龍一(Ryuichi Sakamoto)和這篇裡的Ennio Morricone都是我搜集的配樂大師名單。 Ennio Morricone製作的配樂很多,像是大家很熟悉的海上鋼琴師、新天堂樂園,而這位配樂大師在這幾年將自己的作品透過不同風格來表現,像是在2004年6月發行的的Yo-Yo Ma Plays Ennio Morricone(馬友友的電影琴緣)、同年12月所發行的Focus、2006年6月與荷蘭著名手風琴大師Carel Kraayenhof合作的Guardians Of The Clouds,這些專輯裡的曲子有很多都是重覆的也是大家耳熟能詳的樂曲,透過不同型式表演出來,喜歡Ennio Morricone的樂迷可能會因此荷包扁平。 專輯名稱與封面 出現的電影 海上鋼琴師、新天堂樂園、真愛伴我行、幽國車站、四海兄弟、狂沙十萬里、黃昏三鏢客、越戰創傷、鐵面無私、摩西傳、馬可波羅、嘉莉琺夫人、教會。 Yo-Yo Ma Plays Ennio Morricone 新天堂樂園、教會、摩西傳、狂沙十萬里,有其他新譜的曲子。 Focus 教會、歡喜城有其他新譜的曲子。 Guardians Of The Clouds 如果有人覺得買曲目較多的專輯就是賺到的話,要多考慮一下,如果你是非常喜歡馬友友的話無妨,只是我自己買了Yo-Yo Ma Plays Ennio Morricone和Focus兩張專輯,也曾經買過其他馬友友的專輯,總覺得他在演奏這張電影配樂的曲子時似乎沒有讓我很感動,至於他的專輯已經讓我在拍賣市場賣掉兩張。 回到主題Ennio Morricone,大家比較熟悉由他配樂的電影應該是教會、狂沙十萬里、海上鋼琴師和新天堂樂園。有一次我在家裡播放「Once Upon A Time In The Cinema」和「Very Best of Ennio Morricone」這兩張專輯,裡面除了收錄The Mission的主題曲之外也有Once Upon A Time in America(四海兄弟)和The Good, The Bad And The Ugly(黃昏三鏢客)…等的配樂,這是我所不熟悉的,但吃飯中的老爸居然跟著哼了起來,我家美少男訝異的問老爸怎

[movie]Selena 哭泣的玫瑰

歌手:Selena Quintanilla Perez(1971~1995) 從wikipedia查Selena 導演:Gregory Nava 主要演員:Jennifer Lopez, Jackie Guerra 推薦CD: LIVE THE LAST CONCERT 電影原聲帶: 哭泣的玫瑰 最近在聽一張已絕版的專輯,已逝拉丁歌手Selena的Dreaming Of You。這位歌手只活了短暫的二十三年,死於自己歌友會主席的槍下。在她短暫的生命裡,歌唱事業佔了她二十三年生命中的大部份,然而她也曾在1987年獲得Tejano Music Awards本年度最佳女歌手獎、最佳表演獎並於1993年獲葛萊美最佳表演獎,之後又以《 Amor Prohibido 》這張專輯獲得1994年葛萊美金獎,跨越了國藉的隔閡,是位非常傑出的拉丁女歌手。 這部Selena在台灣被譯作《哭泣的玫瑰》1997年時由Jennifer Lopez演出,由於電影拍攝出資者是Selena的父親Abraham Quintanilla,而他們一家屬於墨裔美國人,所以在片中還可以看到移民者的一些感觸。 Abraham年輕時就有組團表演的夢想,但他的身份使他的樂團在白人舞廳裡無法得到表演機會,當他們在墨西哥舞廳裡歌唱時又因為只懂得唱白人的抒情歌曲,使喜愛跳舞的拉丁人民無法隨樂起舞而引起暴動,接著便結束了他的音樂夢,當他發現自己十歲的小女兒Selena具有音樂天份時,整個家庭都投入表演事業,由他擔任經紀人,全家四處表演。 由於她在年紀小小時便四處表演,所以她無法像其他同年齡的女孩一樣有機會談戀愛或是遊玩,在片中也有這麼一段台詞認為自己屬於被保護下長大的孩子,在光鮮亮麗的歌手外表下,她也想像其他女孩一樣有機會談戀愛、結婚、生子,在這部電影裡都可以看到父親對女兒的關懷,希望留下女兒美好的一面,所以也不會有一些緋聞或是不好的新聞,比較像是父親為了紀念自己的小女兒而拍攝的電影。 這部電影裡,Abraham提到到的一些觀點訴盡了移民們的心酸,他對西班牙語不流利但即將上台演唱的Selena說:「在美國要了解美國歷史,要比美國人更美國人,但也不能忘記墨西哥的歷史,要比墨西哥人更墨西哥人…。」也許因為以前慘痛的經驗,所以告訴女兒一定要學西班牙話,從拉丁歌曲開始表演。Selena的成功除了她本身的天賦和與生俱有的親和力外,我

[reading]瓶中美人The Bell Jar--陷在迷宮裡的詩人

電影:瓶中美人Sylvia 導演:Christine Jeffs 編劇:John Brownlow 演員: Gwyneth Paltrow、Daniel Craig、Jared Harris、Blythe Danner、Michael Gambon 配樂:Gabriel Yared 電影網站: http://www.sylviamovie.com/ 書名:瓶中美人The Bell Jar 作者:Sylvia Plath 譯者:鄭至慧 出版社:先覺 ISBN:957-507-375-8 英文版: Bell Jar 相關網站: http://www.sylviaplath.de/ 電影《Sylvia》則是敘述Sylvia Plath的一生,重點在Sylvia與Ted Haughes的愛情故事,這位女詩人在自殺前留下唯一的一本小說《The Bell Jar》。很可惜的是,我並不認識這位有名的女詩人也不熟悉Ted Haughes,所以對電影的感受不深,但在讀《The Bell Jar》時卻與書中的Esther有一種似曾相識的感覺:社會定位的不清楚、對自己期望的壓力、同儕、複雜的關係。《The Bell Jar》是Sylvia Plath唯一的一本長篇小說,內容是在敘述一位女大學生在憂鬱症摧殘下的生活,在寫完這本小說後,Plath以瓦斯中毒的方式結束自己的生命。 一邊讀著小說,腦海裡還有著電影Sylvia的影像,不自覺的,電影《Girl, Interrupted》的影像也出現在腦海裡,Susanna的borderline personality、Lisa的瘋狂與放棄,這兩本書的內容都與精神疾病有關,不同的是書中的Susanna決定離開療養院,也離開了療養院,而Esther則是沉淪在憂鬱的折磨裡,最後的結局是Esther參加逃不過憂鬱魔爪的朋友的葬禮,然而卻讓人也感受到Esther也將不久於人世。 在那個年代裡治療精神疾病是利用電擊,在《Girl, Interrupted》書裡也寫了Lisa不斷的接受電擊治療。從電影裡或是書裡,感覺起來這都是令人痛苦的治療方式,那個年代應該還沒有百憂解,但就算有百憂解,也只能治療生理,無法治癒心理。Esther接受了不少次的電擊治療,而作者本人也因為憂鬱症而接受多次電擊治療,於是這本《The Bell Jar》是作者將自己痛苦的心路轉化為文字創