▲駭客示意照。(圖/資料照)
記者陳瑩欣/台北報導
國外資安團隊在網際網路上意外發現了一個高達631GB且未有任何安全防護的資料庫。研究人員存取後,赫然發現裡面竟存放了將近40億筆中國民眾的個人資料,內容包含WeChat用戶ID超過8億筆、銀行和住址等高敏感訊息高過6億筆,及其他個資驗證資訊等,堪稱目前為止中國最大規模的資料外洩事件。值得注意的是,外洩的資料庫中,有一名稱為tw的資料庫,亦不排除可能與台灣民眾相關。
KPMG安侯企業管理股份有限公司董事總經理謝昀澤表示,中國由「資料盜竊技術」加上「詐騙行銷話術」的「一條龍詐資鏈」已經非常成熟,透過網路攻擊、資料分析、行銷、洗錢、客服、法務等專業分工,利用來自網購平台、求職網站、醫院、學校、電子支付與電信公司等多元巨量資料,在暗網、Telegram甚至線下,頻繁進行個資交易。
謝昀澤進一步分析本次事件外洩的資料架構,攻擊者可使用資料拼圖等資料加值技術,整合社群媒體帳號搭配住址及銀行資訊,比起單一平台外洩的個資,更明確掌握個別民眾的背景資訊,這些個資,將會用於精準詐騙、精準行銷、社交工程攻擊或洗錢等用途。
針對企業的個資保護策略,KPMG隱私保護專家協理趙慶宏建議,擁有民眾個資的台灣企業,首先需確認是否有將個資傳輸到境外,如有,應明確告知當事人如何傳輸到境外。其次,需採取依據個資法適當的安全措施或監督機制以確保當事人個資在境外地區的安全。趙慶宏提醒企業主,台灣主管機關在近期對於業者在進行個資行政檢查時,特別關注業者就所保有的消費者或會員個人資料是否有明確告知當事人有跨境傳輸的責任。近期亦有業者,因其所蒐集的會員資料上傳到位於香港的雲端資料庫,但未依法告知會員,而遭糾正的案例。
而在人人自危的數位空間裡,民眾應如何自處?謝昀澤提供了四個重點技巧來提升民眾數位防護力,包含:
1、多元密碼:各平台應使用不同且高強度的密碼。由於高強度密碼不易記憶,建議使用密碼管理工具,避免重複使用或簡單組合。
2、啟用多因素驗證(MFA):開啟生物辨識、USB Token等強化驗證機制,加強帳號保護。即使密碼外洩,有心人士也無法登入。
3、警覺可疑簡訊、電話與郵件:若突然要求個資、要求點擊連結、提供授權碼等,務必掛斷、回撥或直接撥打165查證。
4、即時更新設備與程式:包括手機、電腦作業系統與行動應用程式,透過及時更新可修復安全漏洞,避免被駭客利用。
謝昀澤也提醒,台灣民眾面對的個資外洩威脅,除了一般網路應用如購物、社群軟體外,未來還將包含使用Deepseek等中國生成式AI的風險。依據 DeepSeek 的隱私政策指出,其收集的資訊儲存在中國境內的伺服器上,並可能收集用戶的文本或語音輸入、上傳的文件、聊天記錄等內容。謝昀澤認為,使用DeepSeek不但有資料跨境安全疑慮,如特定國家政府或有心人士,透過與AI的互動記錄,進行思想捕捉與資訊誘導,將對使用者的隱私與資訊自由度,將產生更深的侵害。
讀者迴響