資安專家
」 駭客 資安 資安專家 暗網 抖音電子零組件大廠遭駭!414萬檔案疑被鎖 群光電子回應了
電子零組件大廠群光電子傳出16日遭勒索軟體攻擊,駭客組織聲稱取得共1.2TB逾400萬個檔案,並將所有檔案加密,事發後群光電子官網短暫無法連線;群光指出,檢視證交所的資安事件重訊規定,條件未全部符合,因此未發布重訊。由駭客組織Hunters international在洋蔥網路架設的網站,16日出現群光電子遭駭訊息,聲稱取得了群光電子的公司內共1.2TB、414萬個檔案,並介紹到群光電子客戶包括GoPro、Google、Amazon、聯想、HP等大廠,提供部分資料供不特定人士檢視。Hunters international的勒索團隊在2023年第3季出現,採用Hive勒索軟體,海外資安專家認為Hunters international,就是Hive品牌重塑後的團隊;該組織聲稱在2023年11月中旬攻擊並取得上市公司大江生醫的內部資料,資料包括客戶投訴、人資、財務、子公司數據等。大江生醫在事發後發布重訊,指出資通系統遭到攻擊,已報案並啟動防護機制,同時與外部資安專家合作提升資安層級,對營運未造成影響。證交所在2024年1月發布新版「上市公司重大訊息發布應注意事項」,明定資安事件的重訊標準,其中包括公司的核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊、破壞等。這次群光未主動發布遭駭客入侵一事,是否已違反證交所規定。群光電子表示,在檢視證交所的資安事件規定後,認為攻擊程度並未達到需要發布重訊的標準,且對公司營運沒有影響。至於駭客聲稱將部分檔案加密,外傳群光找了國內解密公司協助後才脫困,並沒支付贖金。群光說明,公司持續有與外部顧問公司合作,檔案非機密檔案,也不存在無法開啟檔案的問題。
外交部疑機密外洩 !「2邦交國亮黃燈」評估表遭暗網兜售 外交部:協調相關機關調查
我國外交部約4GB的PDF機密文件竟被放在暗網上兜售,其中還包括外交部對於邦交關係的評估撿表,並指與兩國關係「出現警訊」。這份4GB的PDF文件以泰達幣交易,公文時間橫跨2022年至今年,最近一份為今年3月,不過外交部回應,這份文件來源可疑,涉及境外變造、偽造等不法行為,與操弄認知作戰的惡意,外交部將與相關機關協調調查。根據《自由時報》報導,有兜售者在暗網販售外交部機密文件,並稱是「是第一手資料且過去沒外洩過」,時間橫跨2022年至今年,其中就包括「我與邦交國雙邊關係燈號評估簡表」,並指我國與教廷、吐瓦魯兩國關係為黃燈「出現警訊」,另外還有駐美國代表處電報、國合會函送外交部等。據一位不具名的台灣資安專家看到外洩的公文後表示,近期才剛傳出新的外交部長,外交部機密就馬上被兜售,很難不讓人往政治上聯想;外交部現在應盡快清查是如何被駭,若查不出,未來很可能會繼續外洩,「這真的有點嚴重」!這名資安專家分析,雖然這些資料是國家機密,但商業價值偏低,推測駭客有點像把暗網當作公布欄,告訴外界已掌握台灣情資,有宣示作用;加上兜售的帳號十分可疑,之前並未發文過,代表目的就是為了公布這批資料而特別註冊。針對這個在暗網販售的外交部機密文件,外交部回應,已掌握媒體的報導內容,其中報導中所稱文件來源可疑,並涉及境外變造、偽造等不法行為,與操弄認知作戰的惡意,外交部將與相關機關協調調查。外交部也呼籲,各界發揮識讀判斷能力,勿輕信有心人士刻意操弄、蓄意破壞政府及社會互信所製造的不實訊息。以下為7份被兜售的公文:第1份為外交部函文行政院秘書長,時間在今年2月,主旨為「我與邦交國雙邊關係燈號評估簡表」,內文提到在12個邦交國中,教廷和吐瓦魯兩國關係為出現警訊的黃燈,剩餘10個邦交國關係為綠燈屬穩定,公文同時附上「機密」字樣。第2份為外交部函文行政院外交國防法務處,同為「我與邦交國雙邊關係燈號評估簡表」。第3和第4份都是駐美國代表處電報,主旨為:美聯邦眾院歲計委員會通過《美台21世紀貿易倡議首批協定執行法案》。第5份是駐美代表處經濟組函送行政院經貿辦談判辦公室,主旨為:有關我政府人員出席台美21世紀貿易倡議簽署儀式之下榻旅館事,內文提到行政院政委鄧振中下榻地點建議旅館。第6份為駐美代表處經濟組函送經濟部國貿局,主旨為:陳報本組與亞洲協會政策研究院副總裁晤談情形。第7份是財團法人國際合作發展基金會(國合會)函送外交部,主旨為:本會擬於本年第77屆世界衛生大會期間.....辦理「氣候變遷與健康」場外論壇,敬請惠予核轉駐聖露西亞大使館洽邀露方推薦適合人選擔任論壇講者。
接陌生電話會AI收集民眾聲音? 專家曝關鍵:不需過度防備
隨著AI技術越來越成熟,近期網路就有傳聞,指出先接到電話時記住不要出聲,否則聲音就會被AI模仿。對此,成功大學統計學系教授許志仲指出實際上,電話聲音品質差、容易失真,且若只是1-2句電話問候語,也很難做出品質佳的AI聲音,因此民眾無須過度擔心。台灣事實查核中心表示,近期在通訊軟體間流傳一段文字訊息,提醒民眾接到陌生電話後先不要講話,且對方若不出聲,應直接掛斷,以免被AI收集了自己的聲音。對此,成功大學統計學系教授許志仲解釋,雖然現在AI技術發展快,大約5-10秒間內模擬出真實人聲。但實際上,電話聲音品質差、容易失真;且若只是1-2句電話問候語,也很難做出品質佳的AI聲音,因此民眾無須過度擔心,在接起電話時先不出聲。許志仲指出,雖然AI聲音影像犯罪案例越來越多,但大多都以特定對象,如名人遭詐騙為主,因名人公開影像多,很容易製作成AI。至於一般民眾,也會有詐騙集團利用AI模擬家人聲音借錢的案例,但相比之下仍是少數。另外,資安專家、Whoscall資深產品策略協理劉彥伯透露,現今AI聲音技術確實可以在5-10秒內,模擬出真實人聲。但是這5-10秒之間是要連續不斷地談話、情緒抑揚頓挫,AI才能有效學習,若是只是單純接起電話說「喂」、「你好」,不至於立馬就能讓AI模仿聲音。不過要是民眾覺得電話可疑、或是疑似詐騙電話應直接掛掉,不要跟他繼續對話。資安院資安專家也表示,觀察國外AI技術趨勢,大約在1年前就能利用短短5-10秒聲音,做出AI擬聲,可想而知現在的技術更為發達。不過因為電話聲音品質差、接電話時的問候語極也短,即使能做出AI擬聲,可能也不太像,品質差,平時需小心陌生電話即可,但不用過度防備。
太陽能大廠遭駭客攻擊 聯合再生:工廠已停工
綠能國家隊太陽能模組大廠聯合再生,11日就傳出遭駭客攻擊,公司隨即重訊表示,工廠已經停工,損失難以估計;資安專家指出,若以上市櫃公司來說,被攻擊到停工,應算是今年以來最嚴重的駭客攻擊事件。聯合再生表示,公司部分資訊系統遭受駭客網路攻擊,事發當下,資訊部門已全面啟動相關防禦機制與復原作業,同時與外部資安公司技術專家協同處理。目前對所有網域(頁)及相關檔案做全面徹底的掃描檢測,高標準確保資訊安全後,即能以日常備份資料復原運作;由於遭到攻擊,工廠處於停工狀態,可能損失及影響持續評估中。聯合再生10日開盤價為11.45元,收在12.5元,不少被套牢的股民解套,11日開盤價12.7元,宣布遭到駭客攻擊後,盤中一度下跌至12.05元,最後拉回12.15元。資安專家私下透露,從聯合再生的外部資訊去檢視,其生產線的自動化程度並不高,最有可能的是ERP系統或者財務資料遭到勒索軟體攻擊,但正常來說並不影響生產線運作,工單、料件管理可以轉為人工紀錄;1名內部員工也在股市社群透露,公司為生產線與電腦作業沾不上邊。聯合再生最初在國發基金允諾投資下,由新日光、昱晶與昇陽科3家太陽能公司合併而成,目前國發基金、經濟部耀華管委會持有約11.9%股權,主要希望能成為台灣太陽能產業的國家隊,但日前因太陽能案場開發違約事件,頻遭藍白立委公開點名。
你的密碼好猜嗎? 資安專家點出「15組超常見組合」:易遭駭客破解
你習慣怎麼設密碼?由於許多應用程式、網站常常要求使用者定期更新密碼,不少人會選擇簡單好記的英文和數字排列,例如生日、英文名字等等。對此,資安專家就示警,這種習慣反倒讓網路駭客更好去竊取個人敏感資訊,而他也列出了15組「超常見密碼」,提醒讀者應該立即更換,避免引起資訊安全危機。根據外媒《每日郵報》(Daily Mail)的報導,美國資安專家傑森(Jason Wise)指出,為了確保上網安全,應該使用更安全的密碼,其組合越為特殊,其他人就越難破解他,「簡而言之,你需要避免使用最常見和最明顯的密碼」。傑森進一步說到,像是出生日期、與自己關係密切的人物姓名、隊名、城市或食物等等,都很容易透過網路上的公開資訊被猜出來,而網路犯罪分子還能使用簡單的軟體就能破解密碼,因此安全性較弱的密碼組合可能在幾秒鐘之內就會遭到破解。對此,傑森點出了15組「2024年最常見密碼」,包括:123456、123456789、admin、Qwerty、welcome、Password、Password1、p@ssw0rd、12345、Qwerty123、1q2w3e、12345678、111111、1234567890及Q2w3e4r5t,提醒使用者應該即刻將其更換,就能有效降低遭受駭客攻擊的風險。另外,傑森也坦言,「考慮到每天需要數個不同密碼,在所有網站、軟體都使用相同排列組合是可以理解的」,若想要設計出更安全、複雜的密碼,則可以選擇「密碼產生器」,例如LastPass、KeePass、NordPass、RoboForm和Dashlane等等,再結合使用密碼管理員(password manager),就能協助使用者記住各個不同的、新設定的密碼。
又是詐騙!小心LINE「聖誕貼圖免費送」 事實查核實測結果曝
聖誕節即將到來,在Line聊天室中打出關鍵字「聖誕節」就會跳出應景的小動畫,不過近期卻有不少網友收到「聖誕貼圖免費送」的訊息,點進去並不是導到Line Store的網頁,而是進入到一頁式網頁當中。經過事實查核中心驗證結果,這些所謂「免費貼圖」的連結其實是詐騙,點進去小心個資外洩。 Line的免費貼圖人人都喜歡下載,不過近期有不少人在Line上,收到好友發送的「聖誕貼圖免費送」的訊息,只要將此連結分享給3個群組或10個好友,就能獲得。事實查核中心實測後,確認這些連結為「詐騙」訊息,並說明Line貼圖網址通常為「https://store.line.me/」或「https://lin.ee/」,且點進去網頁還會顯示「更多免費貼圖」或是「相似的貼圖」等欄位,並非只會顯示單一貼圖及分享按鍵。 事實查核中心表示,只要是Line官方貼圖,都一定會顯示作者、其他作品等資訊,而詐騙網站則沒有更多詳細資訊。Line台灣公司也親自聲明,所有官方行銷活動都會在LINE貼圖小舖的「活動」分頁,不會用「分享訊息給好友或群組」的方式行銷貼圖活動。 資安專家劉彥伯提醒民眾,這類的詐騙手法,可能會導致自己的頭貼、名稱、動態等個資會被盜用,而進入的群組還可能會被賣給廣告商,呼籲民眾面對不實連結應該多加查證。
檢調成打手?老大哥介大選 司法公信恐再受質疑
2024大選倒數計時,任何風吹草動事件或訊息都可能影響選舉結果,在此敏感時刻,一份在社群平台兜售情治單位監聽資料,以及高雄市政府政風處查賄公文流出,其中監聽案涉及朝野各黨要角及外國駐台人員,儘管廉政署及調查局等單位第一時間已認定此為境外勢力認知作戰,但在野黨認為不應只用「這是假訊息」一語帶過,畢竟名單涉及國內外政要,若無法在選前查明,司法公信恐再受質疑。查清監聽資料外洩有網友以「國人遭監控!暗網驚現高價出售情治機關偵控數據,速查你有無在列!」為題,在臉書社團發文指稱網路流傳1份監聽名單,並附上載有監聽機關、通訊監察碼、核准文號、監聽對象、手機門號,資料的監聽表格9頁,另個類似暗網的網站則張貼10張被監聽門號及監聽單位表格,包括立法院副院長蔡其昌等近千名政壇人物、退役將領、政府官員,朝野皆有人在列。消息曝光後,檢察總長邢泰釗認定是假訊息,最高檢察署發新聞稿,認為是境外伺服器把訊息發到社群網站,其中有簡體字和西元紀年,也有些職稱和電話有疑義,調查局和最高檢均認為可能是認知作戰,並責成台北地檢署分案偵辦。事實上,近年網上兜售民眾個資事件屢見不鮮,行政機關證實曾遭駭客入侵,但這類案件即使發動偵查,也是無疾而終。此次最高檢短時間憑簡體字和西元紀年的兩大特徵,尚未全面清查是否確有其事,就已認定境外勢力介選,如此息事寧人態度,也難怪國民黨立委游毓蘭要質問:「絕對不是全部賴給『阿中的陰謀』就結束了。」何況有媒體持暗網名單向列名單位的辦案人員求證,辦案人員驚訝說出,「這是我們正在聽的案子」,對於資料外洩實情為何不得而知。台灣事實查核中心的報告也訪問資安專家指出,不管資料是如何被竊取,現在政府要做的是確認哪個環節有疏漏。換言之,蔡政府一再強調「資安就是國安」是句空話,監聽資料雖部分被認定拼湊捏造,但「三分真七分假」的被監控對象曝光,就足以在選前掀起波瀾。至於高雄市政府政風處查賄公文外流更為離譜,法務部已證實為真,法務部長蔡清祥卻稱是政風人員本於職權搜集選舉不法情資,提報地檢署辦案參考,但究其內容係對高雄市第六選區立委選情研判,直指喜樂島主席郭倍宏財力雄厚,為鞏固樁腳,分裂泛綠陣營選票,涉嫌以8萬元代價聘用里長為後援會幹部伺機助選。里長赴陸何須打壓另個情資則是指大高雄補教暨履保協會理事長劉秀鳳藉70大壽名義,幫民眾黨總統候選人柯文哲助選,有賄選疑慮。好巧不巧,2名被指疑似賄選的對象都不是綠營人士,何況調查局和政風單位已宣稱不做政治偵防情蒐,政風處這紙公文情資內容的敘述,卻像幫綠營評析選情影響。郭倍宏即抨擊高雄市政風處淪為特定政黨打手,痛批一黨專政、極權恐怖統治,就是現在的台灣現況,足以媲美過去戒嚴時期的警總。法界也認為依《政風機構人員設置管理條例》,政風管的是公務機關廉能效率,查賄最多僅是反賄選宣導,撈過界做選舉情蒐,顯然已違反行政中立。不僅於此,今年選前淨化治安工作,查處妨害選舉假訊息和以《反滲透法》查辦村里長被招待赴大陸旅遊為最大特色,其中假訊息情資結案少,目前僅起訴2件1人,但涉犯《反滲透法》至少已分案20件、逾70人,包括基隆、彰化、台東、高雄、北市等多地,其中北市更一口氣傳喚41名里長,行為時間從今年6月迄今,檢方「養案」數月後,選前大動作收網,頗有做給「上面」看的意味。只是,該法實施3年,迄今起訴僅5件,檢方此次大動作鎖定赴陸旅遊、交流考察,當然會被質疑是政治動作,刻意形塑緊張氣氛,製造寒蟬效應。只是,民眾早已看破手腳,這不過是民進黨的選舉手段,只會適得其反。有乾淨的選舉,才有清明的政治,政府若是將查賄無限上綱,犧牲程序正義來打擊異己,甚至營造「抗中保台」選舉氣氛,4年前的向心案,國安局、法務部淪為假共諜王立強案的推手,若重蹈覆轍,勢將危害台灣的民主體制和法治公信。更何況民進黨已將兩岸搞得兵凶戰危,里長赴大陸交流正有利兩岸緩和,檢調何苦當打手,逆民意而行?民進黨愚蠢至極。
3萬紓困金全民都能領被抓包「假的」 行政院、勞動部:2細節露馬腳
網路盛傳一個臉書粉專頭像為勞動部的帳號,宣稱可辦理「領3萬紓困補助金、勞工紓困貸款10萬」,內容提到「「#全民領三萬 還有人沒有領取到3萬的補助金嗎」,稱當天申請「紓困補助金」、「勞工紓困貸款」,提交資料後,3-7天就能領錢。對此,台灣事實查核中心表示,這是「錯誤訊息」,行政院也指出,3萬紓困金是前年開辦的方案,早已截止申請。至於10萬元勞工紓困貸款,勞動部則直言目前並沒有此類貸款。粉專偽裝成政府單位,要騙取詢問者個資。(圖/翻攝自台灣事實查核中心官網)根據台灣事實查核中心表示,該臉書粉專貼文稱「#全民領三萬 還有人沒有領取到3萬的補助金嗎」、「#紓困補助金3萬 #勞工紓困貸款10萬(目前已有80萬以上用戶已完成辦理撥款)當天提交3-7天領錢,低門檻、高效率……」、「如果你沒繳勞保 沒有上班 我來幫你領」,但簡介的自述為「政府辦公大樓」,且帳號近期才成立,按讚和追蹤數僅10多人、聯絡方式也只有提供手機與LINE,實際連絡後粉專又要求提供個資,從以上不合理可判斷是偽裝政府單位的詐騙帳號。台灣事實查核中心進行查核,將該篇貼文所附圖卡以圖反搜後,發現擷取自現任屏東縣長周春米的臉書貼文,發布時間是2021年6月3日,內容為該年行政院因應疫情所推出的紓困4.0方案,接著,查核中心向行政院、勞動部查證網傳訊息。行政院表示,傳言內容是紓困4.0方案,在2021年推出,已在當年結束,目前政府並無傳言所說的紓困方案。勞動部表示,網傳「勞工紓困貸款10萬」是假訊息,目前勞動部只有勞保紓困貸款,預計在今年底宣布、明年農曆年前申請。也就是說,目前並無任何紓困或貸款方案。台灣事實查核中心諮詢資安專家也表示,這類偽裝成政府單位的粉專,可能會向民眾騙取身分證字號、自然人憑證等個資,或是以提供小額貸款為由,要求民眾簽下高利貸等合約,甚至可能從詐騙變成恐嚇。資安專家提醒,民眾看到這類粉絲專頁,應檢視成立時間、透明度等,判斷是否為詐騙帳號,或者撥打165反詐騙專線確認。
模擬超逼真網路攻擊 新北邀新加坡資安專家交流
全球網路攻擊與電腦犯罪案件數呈現上升趨勢,為了有效面對新興威脅,並保障民眾個人資料隱私,新北市警察局除內部精進外,更與智邦科技公司及新加坡科技工程公司進行合作,首創以跨國交流合作方式,針對高階警政主管以資安事件危機模擬情境進行資訊安全研習訓練,期望相關警政主管能對資安事件在處理應變上有所助益及收穫,並藉以再強化機關的資訊安全。警方表示,新加坡在亞洲地區資訊安全領域享有盛譽,透過多年實戰經驗所鍛鍊出來的資安產品更是輸出多國的重要產業。這次新北市政府警察局與新加坡科技工程公司合作辦理資安教育訓練,正是希望能夠借鏡該公司在新加坡的成功經驗,提升新北市政府警察局的資安能力。 警方提到,新加坡科技工程公司特別遴派資安服務業務部的協理林漢進,他具有眾多的資安專業證照及在新加坡資安監控中心豐富的實戰經驗,課程中與新北市政府警察局的幹部分享前線資安專家的真實案例和現場處理技巧。除了基本的資訊安全風險介紹和網路攻擊模擬情境外,此次訓練還加入了一系列的桌上模擬情境研習。這些模擬情境特別為領導幹部設計,旨在讓他們能夠在模擬的危機情境中,迅速做出判斷和應對。新北市政府警察局局長廖訓誠表示:「資訊安全的強化不能只停留在理論上,需要持續的實踐和演練,也期望透過這次的合作與學習,新北市政府警察局不僅能夠在技術上有所提升,更希望在整體的資訊安全意識上達到新的高度」。
旅遊淪詐騙2/雄獅個資外洩36萬筆民眾成肥羊 警:打165查詐騙最準
【2023 12:50新增Booking.com回應】2022年雄獅旅遊曾發生重大資安事件,駭客入侵竊走36萬筆資料,民眾變成詐騙肥羊;而在2019年10月刑事局曾公布高風險旅遊賣場,其中Booking.com上榜21周,累計228件。如今「報復性旅遊」正興起,各大旅遊討論區網友竟又互相提醒「Booking.com小心詐騙」各種手法,民眾受損金額從幾千元到4、5萬元不等,最惱人的是還沒出國就被騙,大大壞了旅遊興致。據了解,刑事局165防騙網統計今年初至今,旅遊網站遭詐騙通報以及諮詢件數,Booking.com已超過百件,Agoda也有30件、Trivago20件、雄獅20件。其中,民眾小高收到Booking.com來信,表示為了確保房間的預定和保留,要求依照指示進行信用卡驗證,他當下懷疑是詐騙而向165查證。另一位A先生則接到Booking.com通知,表示因電腦當機,4筆訂單總費用11000元未刷卡成功,後續會有銀行專員與之聯繫云云,接著就接到自稱銀行人員來電,要求A先生按照其指示以手機操作解除付款,他因此損失6千多元。多個網站討論版大量出現「Booking.com詐騙」示警,警方提醒民眾可撥打165專線查證、辨別。(圖/翻攝網路)旅遊網站被詐團盯上早有前例,雄獅旅遊2022年11月29日於台灣證交所公告表示發生重大資安事件,遭受駭客攻擊,另外還接獲通報有冒名詐騙情況,該公司約有半年的顧客訂單資料遭不法詐騙份子利用。經查,駭客是透過員工電腦竊取民眾購買自由行機票、訂房、等商品訂單資料,一共36萬筆外洩,當時有60位民眾反映接到詐騙電話,其中1人遭騙10萬元。不過,雄獅指出,旅行團旅客資料及所有信用卡交易訊息均未外洩,提醒民眾接到自稱雄獅旅遊的電話,務必提高警覺再次確認,以免受騙。一名資深警官指出,近年來民眾出國多透過各種旅遊、訂房網站預定,但如果對方透過旅遊網官網「私訊」聯繫,大多都是詐騙,要特別留意。資安專家李先生也表示,由於旅遊網或訂房網公司在境外,如民眾遭詐騙以及後續確認都存在「時間差」,建議如有詐騙疑慮,最好直接聯繫官網客服,不要直接在疑似詐騙的對話框回覆訊息,或點取對話框內提供之網址。雄獅旅遊2022年間曾因駭客入侵導致36萬筆資料外洩,當時有60位民眾向警方反映有接到詐騙電話。(示意圖/方萬民攝)李先生也分析詐團作業行為模式,「通常一個時間段大多是同一個詐團在進行詐騙,由於教戰手冊一樣,某公司或品牌詐騙諮詢會在同時段內激增」,因此民眾可以撥打165查詢,以利識別是否遭到詐騙。對於Booking.com疑似被詐騙集團選為重點詐騙工具一事,本刊向該公司發出mail詢問,但至截稿前未獲得回應。對於網友遭詐騙事件,Booking.com發出聲明表示,一直以來都十分重視用戶以及合作夥伴的資料安全,同時不斷地研發並努力完善後台系統以及處理程序。他們也注意到近來網路犯罪者針對該平台合作夥伴攻擊有所增加,澄清這些並非單獨針對Booking.com 事件,而是大多數電子商務平台都會面臨的問題。經過調查,Booking.com發現近期攻擊為網路犯罪者通過網路釣魚電子郵件,入侵Booking.com合作夥伴的帳戶;他們也鄭重澄清,Booking.com 並沒有受到任何駭客入侵的情形。此外,為了保護消費者以及合作夥伴權益,Booking.com已凍結這些有風險的帳號,並協助受影響的旅宿合作夥伴們回復系統正常運作,同時協助他們通知及提供支援給予受影響的消費者。Booking.com建議消費者仔細檢查預訂確認頁面中的付款政策,如預訂的旅宿要求支付超出所列金額的付款,請即時聯繫 Booking.com 的客戶服務支援中心尋求協助。
首例!中華車遭駭局部停工 股價未受衝擊漲逾4%
中華車(2204)23日傳出網路資安事件,部分資訊系統遭到惡意攻擊,雖然啟動相關防禦機制與復原作業,目前經過3個工作日,市場傳部分產線仍受影響。不過27日開盤,股價並未受影響,盤中漲幅逾4%。中華車除自家CMC、三菱品牌車外,也代工MG車款與商用車FUSO部分車型。而24日清晨,中華車公告發生部分資訊系統遭到惡意攻擊事件,為避免影響擴大,因此局部產線停止作業。不過中華車也強調,資訊部門已全面啟動相關防禦機制與復原作業,並與外部資安專家協同處理。針對市場傳出暫停生產的部分,中華車表示已恢復作業,MG也在26日正常生產。至於對公司營運的損失和影響?中華車表示尚在釐清中,後續將視情況更新訊息。此次資安事件影響生產狀況,也是台灣車廠首例,不過目前均已恢復作業,但是否影響7月交車狀況成為後續觀察重點。
使用相同帳號密碼危險多 資安專家:可用Chrome一套小工具來幫你
隨著網際網路的普及,帳號密碼可以說是已經上升到與人們生活息息相關,各種大小事情都需要使用帳號密碼。但先前就有多名資安專家提醒,民眾的帳號密碼如果使用同一套,在資訊安全上很容易造成風險,建議每個帳號都搭配不同的密碼,現在就有網路專家表示,其實可以透過Google的瀏覽器Chrome內建的小功能,就可以成功的解決密碼記憶的問題。根據《太陽報》報導指出,軟體開發公司Verimatrix旗下安全與威脅研究部門的高階副總裁沙奇克(Klaus Schenk)表示,用戶會習慣在每個服務、網站上使用相同的帳號密碼進行記憶,此舉雖然方便,但實際上在資安方面風險很大,因為只要有一個網站的帳密外洩,這就形同駭客取得了使用者全部的帳號密碼,如此一來,影響之大是難以想像的。沙奇克解釋,由於被洩漏在暗網上的數據資料日益增加,使用者如果依賴相同密碼套用在多個網路服務上的話,其實是個非常危險的行為,因為只要有一個服務的密碼遭到洩漏的話,就可以讓駭客透過相同的密碼直接進入,或是推測你其餘帳號可以入侵的機會。沙奇克也表示,所以在這樣的情況下,使用不同的密碼來搭配不同的服務,就是一件十分重要的事情。但他也清楚,如今網路服務之多,使用者不可能有足夠的腦袋去記憶不同的密碼。因此他推薦使用Google瀏覽器Chrome的小工具「密碼管理工具」。一方面它可以幫使用者去驗證「自己所使用的網路服務是否有遇到資料外洩」,二方面這個小工具能夠協助使用者自動生成高強度的密碼,使用者只需要保護好Google的帳號,屆時要使用任何網路服務,只需要使用Google密碼管理工具幫忙輸入即可,此舉不僅簡單,而且還提高了帳號的安全性。
抓包91%假帳號資安專家再出手 分析攻擊大牙假帳號「34%與李毓芬相同」
女星大牙(周宜霈)指控「黑人」陳建州11年前對她性騷擾,但陳建州透過律師發聲明否認,更求償1000萬,但她自認陳述均為事實、問心無愧,更放話「法院見」。近期就有網友提醒大牙,表示陳建州有找網軍攻擊他的可能,未料此言一出,大牙的臉書隨即出現一堆帳號使用簡體中文留言。而資安專家陳盈豪再次出手,分析出這些假帳號有34%是與先前藝人李毓芬購買的越南假帳號相同,顯示可能是同一家行銷公司操作。據了解,大牙於3日於FB公開一段對話截圖,截圖中一名女網友向大牙表示,自己從事廣告行銷的工作,聽說陳建州在找公關公司和網路口碑公司,提醒她小心之後會有網軍攻擊。網友私訊提醒大牙。(圖/翻攝自宜霈vs大牙臉書)未料大牙才剛公布此事情,沒想到貼文底下隨即出現大量帳號,使用著簡體中文不斷的重複的貼著相同的內容攻擊大牙,這也讓陳建州買網軍攻擊大牙一事甚囂塵上。(圖/翻攝自宜霈vs大牙臉書)而先前才分析出藝人李毓芬的FB貼文留言中有91%假帳號的資安專家陳盈豪,也不管自己正處於度假行程,就拿出筆電開始分析大牙的FB,結果在分析之後,發現大牙貼文底下攻擊留言的帳號中,有34%是與李毓芬所購買的假帳號相同。(圖/翻攝自陳盈豪FB)陳盈豪分析,由數據看來可得知,惡意在大牙粉專留言的假帳號,與李毓芬買的越南假帳號,有高度可能性是出自同一家假帳號行銷公司,或是彼此之間有密切關聯。
綠營稱臉書搜不到巴比妥「有陰謀」 慘被數位部打臉
新北市板橋區某私立幼兒園,此前發生幼童被教保員餵食藥物事件,震驚全台。但近日有不少綠營民代與KOL發文表示,臉書突然搜尋不到「巴比妥」相關消息與貼文,質疑新北市政府「精準投bug」壓制言論?對此,數位發展部回應,是2018年起Meta與政府合作,限制毒品搜尋顯示,防止毒品氾濫,資安專家們也直言「不必過多聯想」。據《中時新聞網》的報導,多位網友、綠營民代,以及「PTT創世神」杜奕瑾近日都發文指控,臉書封鎖「巴比妥」的搜尋結果,改打英文或替換成「芭」字就會出現,同樣是管制藥品的大麻和安非他命等也沒被封,質疑臉書針對特定區域配合政府做合規(言論管控)的手段,「照過去經驗平台會說這是Bug,精準投bug、剛好在適時適刻精確的壓制重要言論,也不是第一次,也不由得你質疑。」對此,綠委王定宇也在臉書發文指出,他向數發部詢問後,對方表示2018年起Meta即限制若干毒品名稱的搜尋結果顯示,以遏止非法毒品的氾濫,為保障國人安全。平台與政府會即時更新毒品名單。希望說明後,能化解民眾疑慮。3C達人《劉胖胖的3C頻道》劉侑翁也表示,此次案件涉及兒童,加上關鍵字是管制藥品,因此臉書就可能針對該藥物名稱做出較嚴格的控管,當搜索量暴增時,就會觸發某種防護機制,若真的想要控管言論,就不是封鎖單一關鍵字,而是相關字詞都會被封鎖。經手不少防護工具與推動反復仇式色情的趨勢科技協理劉彥伯也在臉書發文指出,這類型阻擋已行之有年,最初除了FDA的要求,還有一些協會也有推動例如輕生、性剝削、復仇式色情的防護,不只臉書,就連IG、Google甚至最大色情網站Pronhub也會針對特殊關鍵字處理。此外,「搜尋替代字或切換不同國家就可以蒐得到」也很正常,原因在於這類防護主要由民間NGO推動,在有限技術下向業者提出,因此要求就僅止於「黑名單式的防治」,強調跟政治陰謀或文字獄都無關。劉彥伯補充,毒物學名和俗名相當多,不可能全部納入。
20天觀看過億?曝李毓芬粉專留言「91%假帳號」 資安專家:有教科書了
藝人李毓芬因為《再見公主》的MV在短短20天內迅速觀看破億,快速超越BTS、周杰倫等一眾大咖明星,也因此引發部分網友質疑。而現在有著「Software Magician」(軟體魔術師)之稱的台灣資安專家陳盈豪(CIH)爆料指出,他透過自己研發的「FB駭客網路爬蟲」工具,檢測到李毓芬粉絲專頁的貼文留言中,有91%是假帳號。甚至就連假帳號的生產日期、生產日程全部都洩漏出來。這情況也讓陳盈豪笑說「以後教到FB假帳號,一定拿李毓芬粉專當教科書」。台灣資訊安全專家陳盈豪日前在臉書上發文,內容表示他研發了一套「FB駭客網路爬蟲」的檢測軟體,主要目的就是用來檢測「假帳號」。而他以藝人李毓芬粉絲專頁最新的貼文(3月8日發表)進行檢測後,發現這篇有10萬按讚的貼文中,共計有607個帳號留言(截至4月5日),而其中有555個帳號被陳盈豪歸屬在「假帳號」的分類,比例佔全體留言帳號中的91%。陳盈豪所指的貼文是這篇。(圖/翻攝自李毓芬粉絲專頁)陳盈豪在檢查的過程中也發現,這555個「假帳號」的創建日期,幾乎都是在2022年10月30、31日、2022年11月15、16日等日子,而且到目前4月為止,這些帳號最新貼文的日期都是這些日期,非常的不自然。陳盈豪認為,主要假帳號生產來自兩批日期,每次工廠為假帳號發假的個人貼文,工廠運作約1天多。(圖/翻攝自陳盈豪臉書)之後陳盈豪再次於臉書上發文,直接分析這些假帳號的按讚排名,又在其中發現端倪,發現有69.1%的假帳號都會特別在某4個粉絲專頁上按讚。之後則分布在許多粉絲專頁上,內容從旅遊、住宿、醫美、美髮,甚至連新光人壽的「新光人壽互動網」(34.2%)、經濟部工業局的「台灣製產品MIT微笑標章」(19.5%)、第一銀行的「第一銀行 第e好康 FirstBank」(11.7%)與遊戲大廠光榮的戰略手機遊戲《三國志 霸道》(9.9%)等單位的粉絲專頁,都有假帳號的蹤跡,行業跨度十分的龐大。在發現這些事情後,陳盈豪則是在留言區表示「若以後CIH演講或去學校教課要教FB假帳號,一定拿李毓芬粉專當教科書。上課前,要求學生們跟CIH我一起念:【謝謝李毓芬老師提供教材】」。 據了解,陳盈豪在1998年就讀大學資工系四年級期間,自行撰寫了CIH病毒,病毒卻在因緣際會下被人帶出實驗室,之後透過網路傳播開始散布,癱瘓南韓、土耳其、中國、俄羅斯等世界各國近600萬台電腦,造成全球10億美元損失。後續陳盈豪表示不會再撰寫任何病毒,但其優異的電腦能力也是頗受企業界信賴,先前曾美商網虎(XLinux)陪同之下,發布CIH的免疫程式「Anticih」,之後也在美商網虎、技嘉科技任職,也曾與台灣刑事局合作,開發過濾詐騙電話的預警功能,甚至也多次前往國防部軍情局、刑事局等國家單位講授網路犯罪課程。在陳盈豪爆料假帳號的事情後,《CTWANT》曾就此事情去信尋問李毓芬的經紀公司,但截至截稿前為止,尚未有任何回應。
普發6000本周逾千萬人登記直接入帳 數位部:請耐心等待
中央普發6000元現金,據統計,本周直接入帳及3月30日前登記民眾共超過1000萬人,將透過金融機構先後入帳,對於登記失敗,數位發展部表示,不用緊張,只要重新登記即可,也可透過ATM、郵局臨櫃領現。對於近來不斷有偽冒網站、簡訊詐騙,誤導民眾以錯誤網址登錄,民眾擔心領不到錢,行政官員表示,民眾被詐騙,個資外洩,因財金公司等單位會謹慎檢核,歹徒應無法以民眾資料拿到錢,民眾可上正確的官方網址查詢,確定未登錄成功的話,可利用官方網站重新登記入帳。資安專家指出,詐騙集團使出各式手段,誘騙民眾以偽冒網址登錄資料,應主要為取得銀行帳戶等個資賣錢,或籌謀後續詐騙行為,但真正要拿到政府發放的錢,需有大量人頭戶,且以1人最多代領4份方式,手續繁雜,獲利有限,為此直接想詐領金錢的案件占比,應相對較低。數位部表示,直接入帳跟首波登記入帳的民眾,只要資料帳號無誤,就會陸續完成入帳,但清明連假有超過1000萬人需要透過金融機構取得6000元,民眾得要耐心等待,若遲未收到入帳通知,可以到官網查詢登記資料的核驗結果。數位部說,若出現「已完成登記,帳號核驗中」及「登記完成,將於近日入帳」,即代表領取資格檢核完成,帳號資料已送往銀行核驗,並進行入帳手續,銀行完成帳號核驗無誤後,就會進行撥款。數位部強調,所有領取管道都開放至10月31日(今年10月1日至12月31日止在國內出生的新生兒,可在113年1月31日前至郵局領取)。因此查詢核驗結果時,發現「入帳失敗」或「帳號核驗失敗」不用緊張,只要確認個人資料與帳戶資料正確後,就能重新登記,也能嘗試用同一人名下其他銀行帳戶,或是選擇10日起透過ATM領取現金、17日起至郵局臨櫃領現。
抖音列戰犯1/TikTok禁令擴及人民? 限權利義務缺法源侵言論自由
九合一基層選舉落幕,執政的民進黨檢討敗選原由,歸納原因之一是社群平台影響年輕人和傳統支持者的認知,並提出全面禁止使用抖音等社群媒體,而數位發展部雖未限制民眾使用,卻已通令公部門資通設備及所屬場域不得下載和使用抖音。南台科技大學財經法律研究所教授羅承宗則指出,政府若要限制人民權利必須要有法令依歸,而非只是行政命令,否則恐有侵犯言論自由疑慮。美國聯邦調查局(FBI)曾示警國際版抖音「TikTok」受中國大陸政府掌控,恐有國安疑慮,因此美、英、澳等國都已採取防範措施,禁止軍方或公部門使用;而台灣數發部日前也宣布,公部門的資通設備及所屬場域不得下載和使用抖音,至於進一步限制民眾部份,表示會再進行評估。資安專家劉彥伯指出,網路詐騙日益猖獗,數位部應該認真投入國人資安保護工作。(圖/趙世勳攝)抖音在2021年是全世界流量最高的網站,勝過谷歌、臉書、微軟等,在台灣則是使用率第4高的社群平台,僅次於LINE、Facebook 和 Instagram,全台使用者約有416萬人。立委莊瑞雄說,抖音的趣味性吸引這麼多人使用,當然是尊重市場機制的結果,但是牽扯到資安問題,便應該進行控管,當前全世界許多民主國家都意識到這問題,並採取防範措施,台灣也要跟進。莊瑞雄表示,像臉書和推特都有下架機制,然抖音至今卻無法可管,處於放任狀態,基於對人民的個資保護和防範假訊息,才會有限制的問題。因為抖音存在無法管控的漏洞,現階段禁止行政部門下載及使用非常合理,至於民眾的部分則需要更謹慎的來研擬,由於其他國家也正在尋找對策,台灣可以參考別國的做法。 「民進黨自己做不好,不能防民之口甚於防川。」中廣董事長趙少康表示,民進黨在執政前說要爭取100%言論自由,如今卻要禁抖音,這就是對言論自由的箝制,雖然現在只是先禁政府機關,但未來有可能漸漸去禁止民間,趙少康認為,民進黨做不好又不想被譏諷,就設法要限制言論自由,簡直是扼殺民主。但若要以保障資安的名義來禁止人民權利的話,羅承宗指出,那政府必須有法律作依歸,以現今的法源基礎是不夠的,欲解決資安問題,不能只有行政作為,必須要立法授權,不得以行政手段就限制人民的言論自由。他也提到,像手機軟體、監視器和智慧家電等,這些有個資紀錄的產品,其實都存在一定風險,為防止不肖人士透過後門程式取得使用者的相關資訊,政府部門應該要有全面性的作為來做資安檢測,就如同市面上流通的食品都能透過《食品安全法》有其一定的管理規範,但這同樣是在著手之前,就要立法支持。數發部於今年八月風光成立,至今卻只推出線上點餐系統,遭到立委批評當務之急應該是解決國人資安疑慮和網路詐騙問題。(圖/方萬民攝)
抖音列戰犯2/政府出資開發社群軟體 專家:缺軟體人才
中國大陸軟體「抖音」的國際版「TikTok」,全球蔚為流行,然而民進黨政府卻以資安疑慮禁止公部門使用,甚至有立委建議數發部開發出替代軟體。資安專家表示,台灣在資通訊產業發展向來側重硬體研發,軟體設計的確比較弱,政府務必培養相關產業人才,才能迎頭追上社群軟體的發展潮流。事實上,工研院早在2014年就開發出一款B2B的通訊軟體Juiker(揪科),至今慘澹運作,網路評論只有1.6顆星,使過的網友評論更是一面倒,「看不出Jukier有什麼特別的地方」、「軟體進步速度比不上半導體」、「不意外,華而不實」、「台灣就沒有軟體人才還硬要搞」,大多數人對這套軟體持負面評價。抖音軟體具有內容有趣多樣化、長度精簡等特色形成一股風潮,名人為搭上話題也和民眾一同拍攝。(圖/報系資料照)現任趨勢科技全球消費市場開發暨行銷協理劉彥伯說,台灣長期以來著重發展資通訊硬體產業,軟體設計和國外的Netflix、Disney+、淘寶等相比,這方面的發展確實比較弱,他建議政府若要扶植軟體產業,規劃應該更全面,從教育開始做起,培育雲端服務業的人才,搭配扶植產業發展的相關配套措施,才有可能突破台灣軟體產業的瓶頸,這並非一朝一夕就能達成。跳著相似的舞步,搭配洗腦的背景音樂,短影音是抖音的特色,其內容富趣味性,且影片長度精簡,方便快速瀏覽,使用戶在短時間迅速成長,目前在台灣使用者約有416 萬人,於社群平台中的使用率高居第四,僅次於 LINE、Facebook和IG。民進黨日前分析出九合一選舉敗選原因之一,歸納出抖音等無視頻盛行,干擾了年輕族群對政府的觀感,立委莊瑞雄也建議,由數發部開發軟體取代抖音,以防杜資安疑慮,引發外界不少議論;後來他澄清說,是指政府可以鼓勵民間業者做出比抖音更受歡迎的軟體,交由市場選擇,他相信台灣有這樣的人才,只要政府鼓勵、扶植,台灣的產業界是有這樣的能力。 「市場的趨勢更迭頻繁」資安專家劉彥伯表示,政府鼓勵民間研發可和抖音競爭的軟體,此一想法的確沒錯,像過去大家會使用WhatsApp,後來被Line取代,而現在IG的聊天功能出現,又再吸走了一部分的人,因此市場的流行趨勢是會有不斷更迭的情形;再以抖音和Facebook、IG的短影片為例,各平台之間的用戶是呈現消長,所以就產業的整體狀況而言,若有新的平台出現,的確有機會取代抖音。針對抖音的資安疑慮,劉彥伯說,其實不少軟體在下載後都會提醒使用者,是否要開啟相關權限,若應要求將權限開啟,就會有資安風險,因此建議要將用不到的權限關閉;另一方面則是演算法,抖音最常被詬病是演算法被質疑,並非是完全根據使用者自己的喜好來推送內容,有時會出現和喜好項目不是正相關的內容,甚至有些和政治元素有關,難免被懷疑是人為去刻意操作。劉姓大學生表示,台灣也有發行社群軟體Lale,在Google Play下載人數千餘人評等4.5顆星,Apple Store上評為3.5顆星,但沒有顯示下載人數,由於下載人數有限,因而評等的參價值有限。對於今年8月風光成立的數位發展部,已有綠營立委批評,當時總統蔡英文表示成立一個專責的數位發展部會,將提升政府的治理能力,並貼近國家發展的需求,還喊出「資安就是國安」;但預算高達211億的數發部,至今對於社會高度關切的資安問題及網路詐騙,提不出解決之道,反而將心力在推行線上訂餐系統「台灣雲市集」,是在浪費納稅人的血汗錢,立委洪孟楷也批評數發部不務正業,該做的是健全科技法令與管理,研發軟體不煩費心,鼓勵民間好好做就行了。立委莊瑞雄表示,政府可鼓勵民間業者開發出比抖音更受歡迎的本土軟體,交由市場機制選擇。(圖/周志龍攝)
老大哥來了1/搶搭紓困便車PNR探個資 黑圖天書混預算
立法院臨時會正在審議111年度總預算,其中內政部移民署一筆5800多萬元的旅客訂位及行程(PassengerName Record,簡稱PNR)分析系統擴充計畫,先前就因缺乏法源遭立委點名有侵犯人權之虞,如今移民署卻以維護廠商秘密和資訊安全為由,再提出一本把內容塗得黑鴉鴉的投標書送審,遭立委直批「真是荒唐!」去年蔡英文政府曾執意推動數位身份證,不僅飽受在野黨批評,就連原本挺蔡的人權團體也大為反彈,行政院長蘇貞昌因而在同年1月21日裁示,因國際資安攻擊頻繁,國人保護自我資訊意識提高,同意暫緩數位身分證發行計畫,待各部會完善法制作業後再推動。同樣牽涉個人隱私的PNR分析系統,內政部移民署於2020年5月在紓困振興特別預算追加預算案(紓困2.0)中,以「防疫」、「反恐」為由爭取編列1.8億元委外開發。國內人權團體雖擔憂此舉違反個人資料保護、侵害人權,在野立委也表達關切,但因當年國內外疫情嚴峻,民間殷切期待紓困,在野黨唯恐刪減預算會被扣上「破壞防疫、罔顧紓困」大帽子,最後紓困2.0預算一毛未刪全部過關,PNR系統也得以順利建置,未引發外界注意。本刊調查,所謂的PNR是指旅客定位記錄,包括旅客證件、航程日期、航班座位、旅行計畫、機上訂餐、聯繫資訊、旅行社等民航訂位系統內紀錄乘客的鉅細靡遺資訊,未來都要交給官方使用。一名資安專家表示,歐盟也曾因擔心建置PNR監控系統,抵觸歐盟憲章保護人權之基本原則,直至2015年相繼發生震驚全球的布魯塞爾、巴黎恐攻事件後,隔年(2016年)才配合美國「反恐」,慎重透過會員國表決,將PNR資訊移轉至執法機關,進行安全查核。不過,歐盟為完善個人隱私保護,也針對PNR訂出保護標準,要求旅客資訊保留滿5年就要銷毀、6個月以上的旅客資訊應匿名處理,美、英等國甚至都規定,民眾可在符合條件下,自行向政府查閱個人被PNR系統所監控的資料。移民署「旅客訂位及行程(PNR)分析系統」擴充計畫,將要擴大蒐集分散在98個政府相關單位資料庫中的個資,人權團體要求先做「個資衝擊評估」。(圖/報系資料庫)立委吳怡玎表示,立法院去年審查紓困預算時,就發現移民署PNR系統有侵害人權與帳目不清等情況,移民署當時曾發布新聞稿否認。「移民署連個資保存多久的答案都一變再變,先說20年、後來又說要永久儲存,移民署承諾的法源『修法』也跳票,又一度拒絕提供預算明細,卻仍不斷爭取擴充系統,串連政府更多資訊,疑慮重重。」她強力主張在PNR法源未到位前,將該系統擴充經費全刪除。吳怡玎進一步指出,立院審查紓困2.0預算時,她曾請移民署提供PNR系統預算明細,但一度遭拒,直到移民署去年完成PNR系統一、二期建置,並已經與中華航空及華信航空訂位系統個資串聯,今年再度爭取三期擴充,移民署才終於同意提供被委外佈建PNR的工研院的規劃案,及廠商投標建議書。但吳怡玎拿到這些資料時的感受卻是百味雜陳,因為好不容易爭取到的資料,圖片、表格卻幾乎全被移民署以「內容涉及廠商營業秘密與個資」、「保障移民署資安」為由全部塗黑,連系統維護費、保固費用、維修成本費用金額,以及專案負責人、諮詢法律顧問等人名都不例外。「難道民眾的個資安全比不上廠商的營業秘密?」她痛批根本就是逃避國會監督、剝奪立委的審查權,若此惡例一開,豈不所有政府外包預算都可用營業秘密為由,拒絕提供關鍵金額資料?她認為該預算應全數刪除,待法源修訂後再擴大建置。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。