用戶個資
」 個資 詐騙 TikTok 簡訊 台電
電費提醒簡訊假連結竊個資 台電:詐騙手法 請認明111短碼簡訊
小心簡訊詐騙。近期出現詐騙集團假冒台電名義發送「電費未繳提醒簡訊」誘騙民眾點選不明網址連結,藉此騙取用戶個資或信用卡資料。台電強調,「電費未繳提醒簡訊」不會提供任何網址連結,且簡訊已全面由111政府專屬短碼簡訊平臺發送,請民眾務必提高警覺,認明111簡訊來源。由於近期出現詐騙集團假冒台電電費繳費狀況查詢網頁,並透過簡訊傳送誘騙民眾點選詐騙網址,台電進一步說明,今(2024)年起「電費未繳提醒簡訊」已統一透過數位發展部開發的111政府專屬短碼簡訊平臺發送,且內容僅提醒民眾未繳電費的電號及月份,無提供任何引導連結,請民眾認明簡訊發送號碼「111」。台電說明,民眾如欲查詢繳費狀況,可至台電官網(用戶服務>網路櫃檯>電子帳單服務>簡易帳單查詢)以電費帳單上的電號查詢(無須登入),另亦可使用台灣電力APP確認,若接獲可疑簡訊或電話,請立即洽台電24小時客服專線1911或165反詐騙專線詢問,以免受騙。台電廣告
小心詐騙!台電未繳電費提醒 唯一認證「111」短碼簡訊
小心簡訊詐騙!近期民眾反映收到詐騙集團假冒台電公司名義發送電費未繳提醒簡訊,且簡訊中附有不明網址連結,藉此詐騙用戶個資或信用卡資料。台電強調,「電費未繳提醒簡訊」不會提供任何網址連結,且簡訊已全面由111政府專屬短碼簡訊平台發送,請民眾務必提高警覺,認明111簡訊來源。台電說明,自今(2024)年1月起,台電已統一透過數位發展部開發的111政府專屬短碼簡訊平台發送「電費未繳提醒簡訊」,截止5月底已發送超過200萬則,發訊號碼皆顯示為111,內容僅提醒民眾未繳電費的電號及月份,不會提供任何連結,亦不會由簡訊內連結導向繳費畫面。台電「電費未繳提醒簡訊」發訊號碼皆顯示為111,內容僅提醒民眾未繳電費的電號及月份,不會提供任何連結(圖/台電提供)。針對近期詐騙簡訊,台電已通報內政部警政署165全民防騙網,提醒民眾若接獲任何可疑簡訊,可撥打台電24小時客服專線1911或165反詐騙專線詢問。台電廣告
「義川分析事件」延燒 藍委將修法加嚴手機資訊利用護個資
科技立委「寶博士」葛如鈞今天表示,人民有表達意見的權利,不論是因不滿國會改革立法群聚在立院外的綠營支持者,或者是到民進黨中央黨部前抗議的民眾黨「小草」都是一樣,但這些人哪一位曾在現場簽字,同意被監控、分析?沒有,因此,只要政府或政黨從這些政治性活動中獲得分析結果,甚至可以分析A活動與B活動的相關性,A地與B地的關連性,已經有違反個資法的疑慮,因為包括「手機訊號」「移動行蹤」「加入那個活動」,完全屬於人民權益、個資應保障事項,產權屬於每個人自己。民進黨政策會執行長王義川日前在電視節目分析青鳥運動參與者年齡,與民眾黨到民進黨黨部前抗議、太陽花學運群眾進行交叉分析,遭國民黨不斷指控以國家機器比對個資、監控人民。王義川在神隱一天後不干示弱的在29日深夜於Threads發文附上3張圖,來源是中市府的觀光宣傳資料,根據圖中反駁,其中就有台中市政府觀光旅遊局分析的遊客行為,包括男女占比、年齡層占比、重遊率、留宿點、停留時間等資訊,綠委也打蛇隨棍上,指要批評民進黨政治偵防,為何不先問台中市政府?國民黨中央黨部今天召開記者會,繼續追「疑似手機監控人民」疑雲,葛如鈞說,任何電信公司都無權隨便針對使用者參加政治活動進行分析,內政部報告也說,電信公司可以合法販售「沒有揭露個資」的人口統技數據,但無法回推使用者個人訊息,沒有性別、年齡、地址數據,無法做兩個活動的交叉比對資料分析,總之「去識別化」是重中之重,因此如果真有電信公司提供未去識別化的使用者資料,給特定人士分析,就已經侵害個人隱私。葛如鈞指出,根據《個人資料保護法》第十八條,電信公司可以基於「公益目的」提供個人資料,但仍必須「取得個人資料當事人書面同意」。若有人依據公益目的請求青島東路集會、太陽花等公民意見自由表達行動的電信資料,請提出申請記錄與理由,並且要出具同意書,否則就是違反個資法。葛如鈞說,如果有人向電信公司申請取得多於「統計資料」的「不可單一識別,但可以交叉比對」的「假名化」個資,也請提出理由和記錄。他並且強調,就算符合公益,也要公告、通知民眾個人,他將推動「修法」及「監督」雙管齊下,解決此次事件凸顯的個資保護漏洞。有美國佛羅里達州諾華大學資訊學博士學位的革命實踐研究院院長林寬裕,則援引幾年前軒然大波的劍橋分析事件,將這次事件訂名為「義川分析事件」。他指出,「義川分析」針對兩次參與群眾運動的異同分析,顯示該分析取得的個資非常豐富,恐非葛如鈞所指單純手機個資去識別化後的比較。他說,「義川分析事件」堪稱比先前全球聲名大噪的「英國劍橋分析案件」還要低三級的醜聞,劍橋分析案在2018年爆發,內容是根據臉書提供資料、非法進行分析檢索,尋找個人喜好,尋覓政黨政治動員的對象,但臉書使用者其實並未同意提供個資分析,該公司最後也倒閉。他強調,「義川分析案」已經涉及對個人隱私的嚴重侵犯,對於通訊社群媒體的不信任,以及國家機器違法操作的疑慮,因為這是來自執政黨政策會執行長的公開爆料,請王義川交代「義川分析」資料從何來,有無行動業者、APP業者被迫提供?有沒有涉及「國際知名通訊軟體」?有無木馬程式監控?這些資料已經蒐集多久?目前這些資料誰在管理?如果民眾懷疑被蒐集、要向誰要求刪除?國民黨發言人楊智伃指出,美國國會後來針對「劍橋分析案」舉行聯合聽證會,邀請臉書創辦人馬克祖克博到國會說明用戶個資使用,事件發展恰巧說明,為何立法院需要聽證權,若無聽證制度,民眾就只能相信當事人不斷改變的片面說法,無法就由出席聽證會的業者、官員說法交叉比對、釐清個資隱私是否真有外洩。葛如鈞則補充,若此案的個資利用符合個資法,絕對不可能挖掘兩場地點、時間不同的活動者個資,並進行比對、分析,從「義川分析」所透露的資訊,甚至三番兩次的強調「臉孔」,不只是手機數據本身,但如何能確知不同活動的活動者「臉孔不同」?難道是透過人工智慧(AI)比對嗎?他說,當事人當然可以辯解只是「肉眼察看」,但是肉眼察看資料能算是統計資料嗎?夠科學嗎?他呼籲民眾用最嚴格標準檢視此案,捍衛自己的個資。
王義川「訊號比對說」爭議持續發酵 國安局幫緩頰
針對民進黨政策會執行長王義川日前在政論節目中提及,稱可透過手機基地台分析立法院外抗議民眾年齡,該番話也引發資安疑慮。對此,國安局長蔡明彥29日赴立法院備詢表示,政府機關向電信業者調閱用戶個資需經過嚴格的12道行政程序,還需送高等法院裁核,才有辦法調閱相關資料。立法院外交及國防委員會29日邀請蔡明彥及等報告「第十六屆總統就職後國際暨兩岸情勢發展對我國安之影響」並備質詢。會前國安局長蔡明彥針對王義川的言論作出回應,他表示,政府機關要調閱電信用戶資料,必須經過嚴謹的法律和行政程序,需經12道程序審查,並送至高等法院裁核,才能調閱相關資料。王義川在政論節目上稱,可利用手機訊號定位分析抗議群眾年齡,甚至還指出該群民眾與民眾黨的小草集會運動是不同人,引發各界質疑是動用國家機器在監控人民行動,但王義川稱此為市場分析公司與電信業者合作的,對此,蔡明彥則表示,如果是這類市場分析活動,國安局不予評論,但強調政府在處理涉及個資的問題,都有嚴格的程序,也會保障人民隱私。
王義川「監控人民」慘了!藍白告發違反《通保法》 檢最快今「他案偵處」
民進黨政策會執行長王義川27日在政論節目宣稱,可透過手機分析參加「青鳥行動」民眾年齡層,將其與太陽花等社運作對比,釐清群眾有無重複,掀起外界譁然。民眾黨立法院黨團總召黃國昌今(29日)公開向法務部長鄭銘謙告發,希望檢察官依法調查;國民黨立委陳玉珍則抨擊,民進黨此舉比查水表還恐怖。黃國昌在立法院司法及法制委員會質詢時表示,依現行《通訊監察及保障法》,如要取得特定人手機定位資訊,須由法官核發調取票,才能向電信業者取得相關資訊,否則即違反《通訊監察及保障法》,質疑民進黨為何能取得大規模手機定位資訊並分析。黃國昌續指,這不僅是單一事件、單一場所、去識別化後分析資料,而是涉及不同時間、地點,並交叉分析使用者的個資;如今「有人」公開宣稱這些資訊可用來交叉比對、知曉使用者年齡,檢察官應介入調查。對此,法務部長鄭銘謙回應,若涉及《刑法》第228條,檢察官即會介入偵辦。民進黨政策會執行長王義川。(圖/報系資料庫)國民黨首席副書記長林思銘也質疑,王義川違反《通訊保障及監察法》,國民黨團有責任告發王義川違法,並懷疑民進黨執政8年動用國家機器監控人民,國安、檢調是否有暗中提供數據給王義川?林思銘除喊話要賴清德、卓榮泰說明清楚,也砲轟民進黨毫無顧忌用非法手段取得並掌握人民個資、行蹤。國民黨立委陳玉珍表示,依據內政部2021公開報告,所謂手機信令資料在人口統計中,其資料不包含個別用戶性別、地址、年齡等個資,如今民進黨公然監控人民,大言不慚還覺得沒什麼,「到底多少手機訊息與行蹤被政府給監控」、「這個比查水表還恐怖」。針對王義川回應,新北耶誕城等大型活動,都會透過手機信令資料作大數據分析,「這幾天的活動也有市場分析公司在分析」,國民黨立委黃健豪駁斥,電信公司或許掌握用戶個資,但提供給數據分析公司的資料不會有個別的資料,且王義川提及他能夠和民眾黨過去集會作對比,比對誰有來過、沒去哪一場,這是個別資料的足跡信號,不是電信公司可賣給數據分析公司的資料。林思銘再依《通訊保障及監察法》,表示非公務員因職務或業務知悉或持有監察通訊所得應秘密之資料,而無故洩漏或交付之者,處2年以下有期徒刑、拘役或新臺幣2萬元以下罰金,告發王義川。據悉,台北地檢署不排除最快今天下午分「他案」依法偵處。
檢破獲詐騙集團「起訴22人」 顧問竟是前NCC主委…下場曝光
雲林地檢署破獲詐騙集團以合法掩護非法製作「黑莓卡」、「比特卡」的漫遊及國內網卡,追查來源發現不肖電信業者,用電訊公司名義專營國外旅遊網卡,蒐集用戶個資,偽造實名認證,相關22人被依法起訴。沒想到,其中1人竟是前NCC主委,在集團擔任顧問一職。蕭祈宏是中原大學醫學工程碩士,專長電機電子、通訊傳播監理,曾任NCC委員,更擔任過祕書室主任兼發言人。卸任之後,到陳姓業者所開的二五電訊公司擔任顧問一職,以每個月5萬元從事詐騙工作。直到去年張姓車手面交取款被逮,警方追查人頭卡門號,發現電信公司牽涉其中,販售「黑莓卡」、「比特卡」給詐團,不法謀取暴利高達6.3億。檢警搜索3家第二類電信公司、7家通訊行,共拘提25人,查扣網卡多達2萬7000張、現金900多萬元,依加重詐欺、洗錢等罪起訴22人。至於蕭祈宏下場,他日前被雲林縣調查站約談,複訊後以50萬元交保,但今(16日)檢方再以違反公務員服務法將他起訴。對此,NCC發表聲明,強調一直都積極參與政府防制電信詐欺跨部會平台、強化機關橫向聯繫,共同防制詐騙,未來會持續和各界配合,戮力打擊詐欺,也期望各界能支持相關修法,持續精進打詐成效。
安卓手機「停車欠費、水電未繳」簡訊恐為詐騙 NCC:4步關閉RCS功能
簡訊詐騙案例層出不窮,日前不僅有交通罰鍰未繳、停車欠費訊息等等,最近詐騙集團更會透過安卓(Android)手機系統中的「RCS即時通訊」,假借公家機關、企業等名義,發送大量詐騙訊息並夾帶著短碼式釣魚網址,企圖誘導用戶點擊。對此,NCC(國家通訊傳播委員會)就提醒民眾,應立即關閉該通訊功能,以避免收到詐騙。NCC提到,這種的詐騙訊息會透過Wi-Fi或行動數據傳遞,發訊者號碼通常是「+號碼」,並會假以公家機關、國營事業或私人企業的名號,透過「RCS即時通訊」功能來發送詐騙訊息,包括「ETC提醒通行費未繳清」、「自來水公司水費已逾期」、「銀行因安全問題暫時關閉您的帳戶」、「罰款尚未繳納」、「停車費尚未繳納」、「點數(積分)即將到期」等等,或偽裝成其他商業資訊。NCC進一步說明,由於該網站可能盜走用戶個資,切勿點擊訊息內的任何網址,或不幸誤觸,也不要填寫任何個資擊金融資訊,以防被盜刷信用卡或盜領存款。對此,NCC提供了直接關閉「RCS即時通訊」的方式,共有4個步驟:首先,開啟應用程式「訊息」,並點擊右上角「帳戶設定」;其次,前往「訊息」設定;再者,點選「RCS即時通訊」;最後,就能夠成功關閉該功能。關閉「RCS即時通訊」的4個步驟。(圖/翻攝自NCC)
LINE「記事本」資料外洩…用戶可看別人資料 官方:收到這通知快改密碼
LINE母公司LINE雅虎日前遭駭客攻擊,造成44萬筆用戶個資外洩,其中台灣約有數百筆,且聊天室的記事本功能也被發現異常,導致「非聊天室內」帳號可看見聊天室內用戶的記事本資料及個人檔案。LINE在官方公告指出,今年9月23日接獲用戶通報自己的記事本出現別人資料,調查後發現,2022年11月30日發布版本的開發過程中遭意外更動,導致控制記事本只能1對1聊天室成員顯示的授權邏輯異常。因此當有多個使用者於同一裝置切換帳號使用、下個使用者未清除快取且該裝置仍有識別碼,就會顯示上一位使用者的記事本,或出現不當顯示的記事本內容、貼文者的個人檔案頭像、姓名與識別碼等資訊類型。LINE指出,記事本貼文可能被他人查看的用戶,會收到名稱為LINE且有綠色盾牌的官方通知訊息。「對於已經收到聯繫的用戶,請檢查您在事件發生期間是否沒有發布任何帳號資訊或分享連結到線上儲存服務。若您曾發布任何內容,請採取適當措施,像是更改您的密碼,或使共享連結失效。」官方也在公告向用戶與相關者致上由衷的歉意。
只針對蘋果mac電腦 假冒微軟OfficeNote盜竊用戶個資
別再說蘋果系統沒有病毒了!這真的是一個錯誤認知!近期網路安全業者SentinelOne發現一款專門針對macOS的惡意軟體「XLoader」。這套惡意軟體假冒成微軟的OfficeNote在網路上傳播,用戶只要下載安裝後,就會被內部的側錄軟體盜取個資,並且被打包放到暗網上兜售。根據外媒報導指出,其實這並非是首次發現XLoader的蹤跡,早在2021年時,就有XLoader出沒的紀錄。但由於當時是採用Java技術,而隨著瀏覽器停用Java技術,所以2021年版的XLoader就這樣慢慢地消失了。而新版的XLoader,主要是假冒成微軟的OfficeNote在網路上傳播,而且軟體本身有取得蘋果開發人員的憑證與簽名,所以macOS內建的惡意軟體監測的XProtect也無法發現其蹤跡。待用戶下載安裝假冒成微軟的OfficeNote的XLoader後,用戶在使用Chrome、FireFox等瀏覽器登入一些敏感資料,以及儲存在剪貼簿內的資料都會被XLoader的側錄功能所擷取內容。所有內容就會被XLoader的開發者竊取、整理,並且打包放在暗網上兜售。SentinelOne也表示,雖然目前蘋果官方已經刪除了XLoader在偽裝成微軟OfficeNote時所用的開發者簽名憑證,但推測XLoader後續還會有其他變種版本會透過各種其他管道散播。因此呼籲使用者千萬不要下載來路不明的軟體,同時也要安裝合法、具備高強度阻擋能力的防毒軟體,以此方式來維護自己的個資安全。
台灣大今啟動2023年種福電計畫 創造綠電收益呵護慢飛天使
台灣大哥大第七屆「種福電」計畫,今(1日)啟動,預計群募500萬元,台灣大並率先宣布捐出100萬元,號召消費者與能量夥伴共同募資,在受贈公益夥伴「財團法人華光社會福利基金會」所附設的「由根山居」自有屋頂,建置太陽能板,預計20年可發綠電近180萬度。對於上周傳出公平會認為台灣大哥大合併台灣之星有獨特問題,如電信個資是否會用於集團其他子公司等問題待釐清。台灣大哥大總經理林之晨在會後受訪表示,台灣大跟momo雖然是關係企業,但彼此獨立,台灣大除了會努力保護用戶個資的企業,也有很多成果,像是反詐戰警服務;在恪遵個資法之時,也會進一步協助其他企業保護個資。林之晨說,對於這樣的見解感到很受傷。公平會在7月19日前有條件通過遠亞併後,同樣有併購案的台灣大哥大及台灣之星相關進度也成為市場關注焦點。公平會則是在7月11日正式受理台灣大哥大股份有限公司與台灣之星電信股份有限公司結合案,一般推估,最晚大約會在9月中旬有結論,但如果無法在時限內調查完畢,則可能需要再延長60個工作日,也就是要到11月中才會有結果。「種福電」計畫自2017年啟動,過去6年實募金額2,865萬,協助6家公益團體20年創造7,285萬綠電收益,生產1,110萬度綠電,減碳效益相當於15座大安森林公園。隨著利害關係人擴大參與,綠能公益模式持續優化,2023年「種福電」計畫,8月1號啟動,預計9月30日前募資500萬元,倡議各界「轉動光能,Break through Sunlight,一起呵護慢飛天使20年未來!」台灣大哥大加碼承諾:每完成一片太陽能板勸募,將購買等量綠電,預計配合2023年「種福電」計畫,加購180萬度綠電,為地球創造綠色能源,也為慢飛天使創造更永續的陪伴。
Meta「資安App」偷走用戶資訊只罰4.2億 法官揭輕判原因
科技業巨擘Meta因號稱可保護用戶個資的VPN App「Onavo」,會暗地搜集「應受保護」的用戶個資並用於「廣告目的」,26日遭澳洲法院判罰2000萬澳幣(約新台幣4.2億),Onavo則已被下架。據《每日郵報》報導,澳洲競爭及消費者委員會(ACCC)發現Meta出於商業目的暗地監看並獲取大量用戶活動資料,而引爆爭議的Onavo雖宣稱可保護用戶個資,且不會搜集應受保護的用戶資料,資料也不會用於Onavo以外的同集團產品,但ACCC追蹤並記錄用戶線上活動及Onavo後,發現Meta確實會利用Onavo監看用戶活動,並將數據用於用戶的臉書廣告投放。ACCC在2020年對Meta提告,並在今年稍早透露該國有31萬用戶因此被Meta「侵犯」,Meta也從未公開他們剝奪用戶的選擇權一事。澳洲聯邦法院經過近3年審理後,判Meta支付2000萬澳幣罰款,另向ACCC支付40萬(約新台幣844萬)訴訟費。對此,Meta雖同意支付罰款及訴訟費,但表示公司從未誤導顧客,且ACCC也已瞭解這情事,以及已把Onavo下架。法官亞伯拉罕(Wendy Abraham)則在判決書表示,原本Meta可因Onavo在澳洲被下載27萬1220次,而被依每筆110萬澳幣(約新台幣2115萬)罰款數千億,但因認定前述違規屬單一行為,而僅罰款2000萬澳幣。
問題持續10年現在才發現 日本TOYOTA近215萬用戶個資面臨外流風險
根據外媒報導指出,日本豐田汽車公司於12日宣布,日本當地有215萬用戶的車輛資料已經遭到公開,會發生這樣的事情,主要是客戶服務雲端平台發生人為設置錯誤,用戶的車輛位置、設備號碼等詳細資訊面臨外流風險。但截至目前為止,豐田汽車公司並未發現平台漏洞遭到惡意使用。根據《路透社》報導指出,日本豐田汽車發言人表示,從2013年11月至2023年4月中旬這段時間,因為人為設置錯誤的因素,導致服務客戶的雲端平台T-Connect網絡服務資料被設置成「公共」狀態,而非「私人」狀態。這也導致內部儲存的車輛位置、車輛設備是別號碼等資訊面臨著外流的風險。雖說面臨外流風險,但發言人也強調,目前尚未發現平台漏洞有遭到惡意使用的跡象。而在發現問題後,豐田汽車公司也隨即切斷了外部連結訪問雲端平台資料的動作,同時對目前的雲端平台環境進行徹底調查。報導中也提到,除了T-Connect 網絡服務外,另外還有G-Link的用戶也有面臨相同處境,這項服務是豐田汽車公司針對Lexus車主所提供的服務。日本個人訊息保護委員會的一名官員也表示,目前已得知豐田汽車公司的事情,但拒絕透漏更多細節。報導中也提到,如此回應也符合該委員過去的態度「不對單一事件進行評論」。報導中也提到,日本偶爾會發生大量個人資料外洩的事件,像是在2023年3月,行動服務電信商NTT DoCoMo就發生有529萬客戶資料因為外包公司的關係而被外洩。
《華爾街日報》爆料:白宮下達最後通牒 警告TikTok出售「中國母公司股份」
美國《華爾街日報》於美東時間15日援引知情人士透露,拜登政府已要求TikTok的中國母公司「字節跳動」(ByteDance)出售其在TikTok的所有股份,否則將在美國遭到全面封殺。綜合《全國公共廣播電台》、《德國之音》的報導,在美國擁有超過1億用戶的TikTok近年資安疑慮纏身,日前美國眾院外委會才通過草案禁用TikTok,國會議員也提案禁止TikTok等可能對美構成國安威脅的外國科技產品。15日《華爾街日報》又援引消息人士指出,拜登政府已要求TikTok母公司「字節跳動」出售該短影音平台的持股,否則將在美國面臨全面封殺的命運。據悉,該項要求由美國海外投資委員會(CFIUS)提出,但CFIUS拒絕媒體的置評請求。對此,TikTok認為強制出售不會解決美國政府認知的安全風險。公司發言人歐柏威特(Brooke Oberwetter)15日也告訴《路透社》:「若保護國家安全是目標,那麼撤資並不能解決問題,因為所有權的變更不會對數據的流動或訪問施加任何新的限制。」他還指出,解決國家安全問題的最佳方式,是對美國用戶數據和系統進行保護,公司也承諾斥資15億美元(約新台幣459億元)用於保護美國用戶數據和內容,免受中國影響。報導稱,TikTok的高管曾表示,「字節跳動」60%的股份由全球投資者持有,20%由員工持有,另20%由其創始人持有,不過創始人的股份擁有超額投票權,而這在科技公司中很常見。「字節跳動」於2012年由張一鳴、梁如波等人在北京創立。報導補充,CFIUS和TikTok的談判至今已歷時2年多,雖然TikTok已承諾斥資15億美元保護美國用戶個資免受中國政府的查閱或影響,但外界仍批評,該計畫的執行力度不夠,還聲稱所有中資企業都需要服從北京的要求。不過,拜登政府在全面封殺TikTok之前可能還有一段漫漫長路要走。川普政府曾在2020年尋求禁止TikTok,但也因法院裁決而受阻。知情人士指出,目前尚不清楚華府下一步的動作是什麼,這可能還需要數個月的時間來尋求具體的解決方案。
驚傳90萬筆會員個資外洩 微風:會全力配合警方調查
微風近日傳出個資外洩事件,有人在駭客論壇BreachForums聲稱已竊得微風百貨的內部資料,微風百貨證實確有收到匿名網路勒索信件,第一時間立即啟用損害機制,目前內部資安團隊已完成軟體以及作業系統安全性更新。據媒體報導,微風日前發出公告,表示因系統更新作業,會員點數活動暫停,隨後民眾就接到簡訊通知,要求會員因應系統升級而修改密碼,當天微風部分網站即出現無法存取的現象。報導還指出,BreachForums駭客論壇上,有人聲稱竊得微風百貨內部資料,內容包含所有業務資料、公司及供應商的資料、90萬用戶個資、發票、訂單、付款資料等,以及30個專案的原始碼,檔案大小超過150GB,駭客甚至還強調個資含有會員的帳號及密碼。微風針對這次的個資危機回應,收到匿名勒索信件後,立即啟用損害機制,內部資安團隊已完成軟體以及作業系統安全性更新,同時提高資安防護層,同時呼籲各界共同打擊此類非法行為,並表示會全力配合警方偵辦。微風也指出,經查證後發現,外流的個資與公司資料庫有落差,因此駭客未必是從微風駭入,微風也藉此提醒民眾,定期修改密碼以保障個資安全,避免遭不當利用。微風日前發出公告,表示因系統更新作業,會員點數活動暫停,隨後民眾就接到簡訊通知,要求會員因應系統升級而修改密碼。(圖/微風臉書)
最重處罰開鍘!iRent洩40萬筆個資 複查「改正未符標準」…公總開罰20萬
公路總局最重開鍘!市場上專門提供汽機車共享服務的iRent和雲行動服務公司,日前發生用戶個資遭外洩一事,後來經過追查,發現企業資料庫出現防護性缺口,交通部公路總局雖然要求改正,但事後複查發現,iRent和雲行動服務公司改正依舊未達標準,加上外洩個資高達40萬筆,根據《ETtoday新聞雲》報導,公路總局對和雲行動祭出最重處罰,重罰20萬元。並下令若在2月28日前,未提送完整改正資料,將會再按次開罰。對此,和雲表示已於6日完成改善提交資料,會接受處罰,並迅速落實改善個資安全。回顧這起iRent個資外洩事件,是國際科技媒體《TechCrunch》日前指出,一名安全研究員在和泰所有的雲端伺服器發現,包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫,顯示雲端資料庫沒有加密,外部人員只要透過特定技術及工具,就可能可進入資料庫,查詢會員異動資料。事件爆發後,公路總局表示,為掌握個資外洩情形,台北市區監理所有派員至和雲行動服務股份有限公司進行行政檢查,當時已強調,若發現有違反《個人資料保護法》相關情事,將要求限期改正,如屆期未改正,就可依《個資法》處2萬元以上、20萬元以下罰鍰。但經過本月4日複查後發現部分行政改正未符標準,因此今天確定開鍘。公路總局表示,有關和雲行動服務股份有限公司,發生用戶個資外洩一事,經本局於2月4日派員至該公司進行稽查,確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫。公路總局指出,因該公司已屆期但仍未改正,且發生外洩風險的個資筆數,高達40萬筆,已明確違反《個人資料保護法》第27條第1項及第2項規定,爰依《個人資料保護法》第48條第4款規定,處最高罰鍰20萬元。公路總局並強調,因此按情節重大,除了已要求業者落實《個人資料保護法》相關規定,並要求將再次於2月28日前,提送完整改正佐證資料,若續查還有違反個資法情事,將再按次處以罰鍰。和雲回應表示,公司於1日收到公路總局來函,要求二日內針對iRent個資事件提出消費者個人資料安全維護改善計畫,並配合於4日再次接受公路總局現地稽查;和雲已盡速處理,並於6日全數完成改善提交資料,惟無法符合改善期限(二日內)之要求。9日收到公路總局開罰通知後,和雲表示將落實改善,防止再發;未來和雲將更致力加速改善效率,以符合主管機關二日內完整改善之要求,並再次向關心此事的社會大眾致謝。
iRent恐個資外洩 經調查近3個月資料有異動
和泰集團旗下共享汽車公司iRent(和雲行動服務公司)疑似發生用戶個資外洩事件,公路總局初步查處,發現該公司暫存資料庫可被外人進入查詢近3個月會員異動資料。公路總局表示,為掌握個資外洩情形,公路總局轄下台北市區監理所已於昨(1)日下午由副所長李珮芸率政風、資訊單位人員會同公路總局資訊單位人員,前往iRent行政檢查。現場查核iRent未能依規定提供汽車運輸業個人資料檔案安全維護計畫書;另iRent表示,1月28日接獲客服信件告知資料庫有外洩風險。經調查,發現記錄應用程式Log檔的暫存資料庫發生防護性缺口,外部人員運用特定技術及工具,可能得以進入資料庫查詢近3個月會員異動資料,故iRent已於同日檢查資料庫及內、外部連線並防堵。公路總局查核人員要求iRent說明可能洩漏客戶筆數,iRent表示因資料較多,需清查約2至3天。公路總局表示,台北市區監理所已立即發函要求iRent今(2)日前提報其消費者個人資料檔案安全維護計畫,並於2月3日前說明事故根因、結果調查狀況、對可能洩密當事人(消費者)通知狀況、事故後續處理及矯正作為、所採行個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等,並提供佐證資料,並要求iRent依個人資料保護法改正完成,如屆期未改正,則依個人資料保護法按次處新台幣2萬元以上、20萬元以下罰鍰,以督促業者落實用戶個資維護及企業社會責任,保障消費者權益。
iRent「客戶個資裸洩9個月」 公路總局曝若違法未改正:最重按次罰20萬
和泰汽車旗下共享汽機車服務iRent傳出用戶個資外洩風險,國際科技媒體《TechCrunch》日前指出,一名安全研究員在和泰所有的雲端伺服器發現包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫。對此,和泰旗下和雲行動服務發表聲明,指出媒體所提iRent資料庫存在部分資料外洩風險,和雲資訊部門早已於第一時間處理並加強安全防護;公路總局今(1)下午則指出,若外洩肇因歸責於公司且未改善,可依法按次罰款2至20萬元。《TechCrunch》報導指出,該資料庫涉及至少10萬筆客戶個資與數百萬個信用卡號碼,任何網路用戶只要知道其IP地址,都可取得遭洩露的iRent用戶資料,且《TechCrunch》檢視並確認此事後,除發現資料庫自2022年5月就洩露約4.2TB數據,後寄出多封電郵給和泰卻未得到回應,於是聯繫台灣數位發展部,最後由唐鳳轉交數位部轄下財團法人台灣網路資訊中心的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」處理,並在1小時內讓該資料庫無法被造訪。(圖/翻攝自《TechCrunch》)對於資料庫內容可能遭洩長達近9個月,和雲回應其資訊部門早於第一時間處理,阻斷外部連結,與加強資料庫安全防護,並釐清實際可能受影響範圍,也有定期針對主機系統進行弱點、滲透掃描,iRent App亦有定期進行源碼掃描,交易過程全程採SSL加密。數位部政務次長李懷仁今(1日)則表示,由於此案屬民間企業資安事件,部長唐鳳才會第一時間轉由TWCERT/CC協助處理。此外,過去個人資安的主管機關為內政部,後有國發會「個人資料保護專案辦公室」,而這次事件先由外媒找上數位發展部,再由唐鳳馬上要TWCERT/CC介入,因此數位發展部也有部分權責,而除金融業、上市公司有強制要求設立監理或資安主管職外,其餘產業則由民間自行處理。公路總局稍早指出,台北市區監理所已派員調查個資外洩,若其原因可歸責公司將要求限期改善,如未改善則依個人資料保護法按次開罰2萬至20萬元。運輸組長梁郭國表示,今天下午已請監理所及資訊室人員共同確認資料庫防護、和雲行動服務是否依法訂定安全維護計畫,以及確認外洩的實際肇因,並要求業者查明後強化個資安全維護,保障消費者個資,以及用適當方式通知當事人。
馬化騰斥騰訊貪腐:令人觸目驚心 直呼砍業務不留戀
大陸騰訊集團執行長馬化騰近日在內部一場會議上語出驚人表示,公司內部貪腐情況「比較嚴峻」,了解後真是「嚇死人」,令人觸目驚心。很多業務做不起來是因為「貪腐漏洞太大,業務被掏空了。」很多業務「該砍就砍掉,不要留戀」,未來還需要降低成本增加成效。大陸界面新聞報導,騰訊15日線上召開內部員工大會,約有100多名員工出席,主題圍繞「降本增效」。值得關注的是,與往年以鼓勵為主風格不同,今年馬化騰談話犀利,甚至打開天窗說亮話,直斥騰訊內部貪腐問題嚴重。馬化騰直言,從第四季調查情況,騰訊內部的貪腐情況「比較嚴峻」;今年嚴查之後暴露的問題特別多,而且又有中層幹部牽扯其中,「我跟你們講,只是你們沒機會看,看完之後嚇死人。」「為什麼年年說反貪腐,今年還這麼嚴重呢?」馬化騰表示,今年騰訊強調降本增效,所以查得比較多,內部的貪腐問題真的是觸目驚心,很多業務做不起來,並不是因為管理者的問題,也不是業務方向問題,而是貪腐漏洞太大,業務被掏空。馬化騰還稱,騰訊今年收縮很多業務,「不要跟我講還有什麼機會,很多業務該砍就砍掉,不要留戀。」未來還需要繼續加強和堅持降本增效,「我覺得這要形成一個習慣。」他也批評,集團很多事業群一團和氣的改革方式,是浮於表面的工作形式,不是創業者應有的危機心態。對於騰訊平台與內容事業群部分業務的改革,馬化騰更是毫不客氣直斥,活都活不下去了,周末還有時間悠閒打球。《華爾街日報》去年2月曾披露,騰訊前副總裁張峰從2021年年初後,就一直接受大陸官方調查。據了解,張峰自2020年以來,涉嫌未經授權將騰訊社交媒體「微信」的用戶個資提供給前大陸公安部副部長孫力軍。孫力軍2020年4月19日落馬,今年9月23日被判處死緩、終身監禁。
疑似違法幫TikTok推行業務 台灣業者遭移送法辦
行政院專案小組於12月9日發現國內業者疑涉為陸方平台「TikTok」在台違法從事業務活動,陸委會昨晚指出,已積極主動查處,並移由司法機關偵辦中。TikTok在台公關公司則表示,「關於近期媒體報導 TikTok 在台設立分公司的傳言為不實消息。TikTok 在台並無設立分公司。」陸委會昨晚發布新聞稿表示,有媒體報導有國內業者疑係北京字節跳動公司之台灣分公司,為陸方短影音平台「TikTok(抖音國際版)」在台從事業務活動,涉及違反《兩岸條例》第40條之1情事。陸委會表示,經查行政院政務委員羅秉成在9日針對「TikTok」危害資通安全,邀集相關主管機關召開專案會議時,即已發現上述疑涉違法情事,陸委會就業者涉嫌刑事犯罪部分,移由司法機關依法偵辦中。陸委會強調,近年大陸運用TikTok等短影音視頻對其他國家進行認知滲透,且有為中國政府蒐集用戶個資之高度風險,引起各國重視並採取相關反制措施。媒體報導,昇洋國際生技有限公司於2018年3月成立,在今年11月核准變更登記為「字節跳動台灣股份有限公司」,被核准成立,地址登記在台中市東區十甲路,代表人姓名是陳嘉慶,資本額1200萬元。該公司15日在網站刊登求才廣告,企業簡介內容指出,「TikTok主播教學,視覺傳達,公司通過直播視頻平台充分開發網紅的粉絲價值。公司致力於專業打造素人IP帳號,並與字節跳動旗下抖音、TikTok等社交平台達成『戰略合作』。」根據經濟部資料,該公司營業項目包括食品、國貿、管理顧問業、演藝活動、廣告服務、人力派遣業等,也包括電子資訊供應服務業、資料處理服務業。TikTok在台公關霍夫曼公關對此發出聲明表示,「關於近期媒體報導 TikTok 在台設立分公司的傳言為不實消息。TikTok 在台並無設立分公司。」
Meta爆監控臉書、IG用戶 地址、密碼、信用卡號全被看光光!
前Google數位工程師克勞斯(Felix Krause)最近踢爆,臉書和Instagram的母公司Meta正在監控他們旗下2大社群媒體的用戶資料。只要有民眾在臉書或IG內部點開其他網頁,Meta就可以在這些新打開的網站中植入追蹤碼,監看用戶的所有行動。他指控Meta此舉不但嚴重侵犯用戶隱私,還沒有得到外部網站營運商的許可。克勞斯日前開發了一種可用來偵測網站上是否有被額外添加指令的工具,並以此檢測出了臉書及IG內部點開的外部瀏覽器中有一串長達18行的新增代碼。這意味著,只要用戶不是使用Google Chrome或Safari等獨立瀏覽器,而是在臉書或IG內部的貼文或限時動態點開其他網頁,Meta就會將追蹤碼植入到新開啟的每個網站中,這導致用戶不管是截圖、點取連結、看影片、線上網購,還是輸入密碼及信用卡號等個資,都被Meta看光光!對此Meta發言人指出,追蹤碼只是為了讓Meta知道用戶的隱私偏好,這樣才能蒐集成大數據,有利目標式的廣告投放。克勞斯也在隨後宣稱,沒有證據能夠證明Meta竊取或存取用戶地址、信用卡號或銀行帳戶密碼等重要個資,但iOS版IG應用程式向所有透過內部瀏覽器呈現的第三方網站植入JavaScript代碼的指令,確實能夠使該公司的APP輕鬆監看用戶個資,嚴重侵犯民眾的隱私權。