2015年4月16日 星期四

PChome真的有洩露個人資料嗎?

原始發布時間:11 十一月, 2009 17:10

說真的:到底PChome有沒有洩露個人資料,我真的不知道!但網路那麼多的抱怨,還有媒體的報導,到底是怎麼一回事呢?

不管個人資料是不是會像空氣一樣外洩,每個網友,特別是網路賣家,還有網路商店業者,先做好個人資料防或措施是一定要的。



大約在九月初開始,Mobile01上就開始有一個熱門的討論。網友指出,有詐騙集團用他在PChome購物的資料企圖詐騙,並懷疑是PChome洩露了他的個人資料。

接著,我在噗浪上,也陸續見到一些在PChome網購的噗友指出,遇到過同樣的詐騙電話。相關的抱怨,也有在網路上慢慢發酵的情況。

大概在10月份下旬,終於開始有媒體報導這件事:

>>PChome網購個資外洩? 女網友:我被詐騙集團性騷擾!

>>購物網站有加密 PChome:個資又不是氣體怎麼洩


對於這個事件,我大概從九月初從Mobile01見到討論後,就開始觀察,並陸續明察暗訪了一些周遭的朋友和網友。說真的,我的結論是:要具體指控說PChome洩露個資,恐怕很難。

我的意思並不是說PChome絕對沒有洩露個人資料,而是說:就目前證據來看,的確無法咬定外面那麼多個人資料就是PC home洩露的。

首先,我在Mobile01討論以及私下與有過實際案例的朋友聊過,確定許多個資外洩的案例,應該是發生在PChome商店街買東西之後外洩的,這一部份,要歸咎於PChome外洩個資是不可能的。這一部份,資料的外洩只有兩個可能:一是網友自己的帳號被人釣走了;另一個可能是商店街的店家帳號被釣走。

另一方面,這個問題出在,許多網友只記得他是「在PChome買的」,而分不清楚是在PChome自營的網路購物,還是商店街裡面的店家。

但在我的訪察結果裡,也確定有些案例的確是在PChome網路購物買東西之後,個人資料被詐騙集團拿來從事電話詐騙;而這些人中,有些不但具有很好的資安知識,也具有不錯的電腦與IT技能。

但是否這樣就能夠證明PChome購物洩露個人資料呢?

一樣沒辦法。

因為,既使那些具有資安知識的友人,認為自己的帳號沒被網釣,自己的電腦也沒木馬或側錄程式,但是,他們也沒法百分百保證:自己的電腦真的都沒木馬。

既然無法百分百排除網友帳號是從自己的電腦所瀉露出去,就無法咬定資料是從PChome那邊所洩露出來的;而這也是PChome可以一直不承認資料是從他那裡洩露出去的關鍵。

目前看來,能夠證明PChome有洩露個人資料的,只有兩種可能:一是PChome內部自己調查到的確資料外洩,並公開承認;另一則是:執法單位破獲詐騙集團,並往上追查出這些資料的確是從PChome公司那裡洩露出來的。在這兩件事發生之前,我們也只能假設個人資料可能是網友自己那邊洩露出去的。


個資外洩由來已久:雅虎拍賣的教訓

其實,在PChome之前,雅虎拍賣也大概在兩年多前網路釣魚及網路詐騙最猖狂的時代被指控過,到目前為止,網路上談到網路詐騙,都還是會有很多人很不經意的說:「雅虎購物詐騙很嚴重」等等類似的話。

記得大概在一、兩年前,有一次我接到了詐騙集團的電話,操著大陸口音的女子說我跟他們買的某某東西帳務有問題,匯款沒有成功等等的,我聽了之後回說:帳務有問題去找你們的銀行,找我沒有用,給他擋了回去。

接著我找到洩露我個資的賣家,打電話去跟他抱怨,他開口就罵說:可惡的雅虎,洩露了他的個資,讓詐騙集團偷走了他帳號裡的資料。

但其實,這樣的說法一方面對網路業者並不公平,另一方面,也會誤導一般大眾,誤導的結果,還是讓大家沒有得到教訓,然後仍無法發展出一套適當的個人資安對策。

怎麼說呢?

以我遇到的案例來說,我後來打電話與賣家和平的深談之後,我告訴他:我可以百分百確定,你的帳號被詐騙集團釣走了。我並建議他,幸運的是你的帳號掌控權並沒被拿走,最好立即去修改所有的密碼,以免詐騙集團把整個帳號拿走,否則後果更不堪設想。

事實上,一般所謂的雅虎洩露個人資料的說法,更精確的來說應該是:有人在雅虎上買東西之後,他的購買資料被詐騙集團取得了。至於取得的管道,主要是透過網路釣魚騙取買方或賣方的帳號資料(通常是賣方),然後開始進行電話詐騙。換句話說,目前所見的洩露個資案例,問題很多是自網友自己,能夠咬死是雅虎或其他網路業者的還不多。

類似的網路釣魚,我記得大概在兩年前的雅虎網拍上相當流行。據我個人的觀察,當時詐騙集團以釣取雅虎拍賣上的賣家資料之後,會做以下這些事:

一、 竊走該帳號:就是帳號的擁有者完全失去了自己對於帳號的掌控權;歹徒取得帳號掌控權之後,可以為所欲為。

二、 竊走裡面的交易資料,然後利用這些交易資料進行電話詐騙。

三、 利用該帳號進行網釣:在竊走該帳號之後,詐騙集團會密集刊登網拍物件(例如瞬間刊出二、三千件),在雅虎拍賣內每個品項裡都刊登一元起拍的精品,吸引使用者上勾。待賣家查覺時,可能已被雅虎停權,並欠雅虎一屁股刊登費。

後來,雅虎為了防止這類事情的發生,修改了一些措施。例如,推出安全圖章,自然人憑證;還有外連警示,也就是在網路拍賣平台上,當網友要點閱外連的網頁時,雅虎會跳出警告,告訴你你現在要離開雅虎網站。

從某些方面來說,雅虎的這些措施相當有效,至少,之後在雅虎網拍上見到明目張膽的網釣物件,驟然之間減少了很多。而雅虎在這方面的努力,其實是很值得給他拍拍手的,而不是一味打罵。

但是,既使雅虎積極的祭出這些措施,雅虎拍賣上的網釣及網路詐騙仍然不死,為什麼?

因為,原本網釣的手法就很多。例如,透過垃圾郵件,還有透過木馬……。只是,以前在雅虎拍賣上騙到有信用的賣家的帳號之後,拿來騙資料是非常簡單而有效的,而現在這種手法,還是有,但少了很多很多。

這也是為什麼近期我們還是會在網路上見到一些賣家整個帳號被盜走,以及因為在雅虎拍賣買東西而接到詐騙電話的原因了。

MSN的hotmail資料外洩事件

網路上對於網路公司類似的誤會還有很多,另一個有名的就是前陣子微軟MSN的hotmail資料外洩事件。

老實說,大眾媒體對於此事件的報導也有很多錯誤,大家大概都類似這樣報:微軟的hotmail被駭客入侵,被盜走了上萬筆的個人資料。

媒體似乎認為hotmail系統是很容易被入侵的,而駭客入侵之後,面對全球好幾億筆的個人資料,竟然「只」偷走了一萬多筆!

所以,正確的來說,應該是hotmail的用戶,有上萬筆帳號資料被駭客給釣走了。這種責任,應該主要是在使用者身上,而不是微軟的hotmail服務;換句話說,洩露的管道,是在每個用戶個人,而不是微軟。

這個事件,可參考iThome的相關報導:


>>駭客公布上萬筆Hotmail帳號及密碼



對網友的不專業建議

不管PChome有沒有洩露個人資料,我想,這些前仆後繼的案例告訴我們:如果網友老是把責任推給網路公司,對於自己的個人資料安全,還有總體的網路安全,是不會有什麼加分效果的。

對於個人,特別是身為一個網路賣家來說,如何防止自己的資料被盜,外面有許多很專業的文章可供閱讀,這裡,僅列出個人的一些「不專業建議」,因為我不是什麼資安專家,只是憑自己過去吸取的知識整理一下:


一、防毒軟體是一定要的:

防毒軟體可以幫忙偵測出木馬。但是,使用時千萬要記得,要有良好的軟體更新習慣。目前除了一些市售的安全軟體外,也有許多免費好用的,像是AVG、小紅傘……等等的。

二、養成良好的軟體更新習慣:

特別是Windows作業系統,還有防毒軟體。許多漏洞攻擊,既使你安裝了防毒軟體,若沒有修補漏洞,仍然是沒有用的;而防毒軟體,如果沒有保持最新的定義(特徵)更新,其防護效果也會打折。

三、養成良好的網路瀏覽習慣

特別是要從事一些重要的網路行為時,例如輸入帳號密碼等重要資料時。

任何情況之下,都不要相信自己有免於被騙的能力,要免於被騙,反而要用這種最笨的方法。

怎麼說?

例如,當你要上雅虎網拍時,不要透過別人寄給你或提供給你的連結進去,而是透過你手動輸入的Yahoo.com.tw,層層點進去;或者是用Google搜尋找出確認的網址之後,利用該網址進入;或是透過你的bookmark(我的最愛)。任何第三方提供給你的連結(既使是好朋友),你都要視為有安全風險。

因為,網路釣魚的基本手法之一,就是做一個假的網頁,騙網友自己輸入重要資料。而這種手法,長久以來一直相當管用,只是經過多年的演變,技術也千變萬化。例如,近來相當流行的「跨站攻擊」就是一例。

過去駭客可能是用一個網址很像合法網站的詐騙網站來騙你而已,眼尖的網友可能見到長得一樣的網站之後,發現網址不對而讓詐騙失敗;但現在駭客可以利用網站或網路協定的漏洞,在合法網站上植入木馬,或者甚至詐騙程式或網頁,君不見上次總統府的網頁就被人「嫁接」了sory sory舞影片?

另外,在莫拉克颱風某新聞網站報錯新聞,還有之前Chrome OS下載來了的烏龍新聞案例裡,也都給我們一個啟示:既使是精明而對科技有了解的記者,點選了別人所提供的網站之後,還是很容易被騙!而錯把假網站誤認為真的官方網站。

這也是這個方法的重要性了。

四、密碼設定不要太簡單

千萬不要用什麼12345或是11111當密碼;不要用自己的生日...;也不要一組帳號/密碼用到底,例如從facebook、Yahoo、噗浪,到PChome全都用一樣的帳號密碼。

帳號密碼最好用英文字母與數字的組合,最好英文字母中有大寫也有小寫;不重要的一些帳號或可用同一組帳號密碼,但重要帳號最好還是獨立一組,以免一組被猜中之後,駭客進一步到別的網路服務破解了你的其他帳號。

當然了,這個原則如何與「便於記憶」取得平衡,就要看個人的個別情況而定了。

另外,像自然人憑證等類似的措施也是有助於防止帳號被盜用。建議專業賣家可以使用。

五、發現帳號可能被盜時,立即更改密碼

萬一自己不小心,發現可能帳號密碼被騙時,例如誤信某看似合法的網頁而輸入了個人資料,要立即去修改自己的密碼(利用方法三進入合法網站),以免讓詐騙集團取得帳號的掌控權。

還要注意的是,如果你這組帳號密碼不只在一個網站上使用,記得其他網站的一要一併修改。

六、設定多個備用郵件帳號:

我這個知識,是從這篇文章裡得到的:

>>我與歹徒的 YaHoo 帳號爭奪戰



萬一個人帳號被盜走時,記得馬上要拿回掌控權。萬一已經被詐騙集團拿去了掌控權,那麼,你的備用e-mail帳號可能可以救了你;而備用e-mail帳號越多,救回的機會也越大。

詳情請看上面這篇文章。

作者就是用自己的案例來說明他如何利用備用e-mail帳號從詐騙集團手上搶回自己的yahoo帳號。

此外,這個例子顯示,這個作者有不錯的資安知識,以及技術能力,但帳號密碼還是被木馬給偷走了。這也是為何在斷定PChome資料外洩事件時,我們難以排除這個因素的原因。

以上是個人的「不專業建議」,若網友有更好的建議,歡迎提供。以上建議,是為公益目的而寫,因此,隨時隨地會因為網友建議而加以修訂。

沒有留言: