圖片來源: 

國外網站國外Hackread.com網站在2月5日就揭露臺灣Nokia遭駭,駭客也駭客論壇上公開17萬筆個資,並展示臺灣Nokia網站受駭畫面

臺灣Nokia行銷活動網站遭駭,Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄,包括姓名、電話和電子郵件等個資。臺灣Nokia於2月22日也在官網公告坦言受駭,並表示已通知可能遭外洩帳號密碼的7,000位民眾。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。也就是說,這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。

由於此次影響範圍廣大,根據個資法的規範,只要有20位以上的受害當事人連署,即可交由公益團體進行團體訴訟。另外,依據個資法28條規定,單一事件中每人可求償金額從500~20,000元不等,以臺灣Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將會達到法定單一事件最高總額2億元的上限。

此次Nokia遭駭的行銷網站是委託給網路行銷公司安捷達(Agenda)負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由臺灣Nokia負責,民眾仍是向臺灣Nokia求償。而臺灣Nokia則可另外向Agenda求償。

不能只在網站發表聲明,企業需主動通知受害當事人

臺灣Nokia於2月22日於官方網站上發表受駭聲明稿,表示已關閉遭駭的5個網站,從伺服器中移除資料庫,預計將花至少4個禮拜時間清查影響情形,目前確定至少外洩17萬筆個資,共有150萬筆個資有外洩風險。臺灣Nokia為此向消費者致歉,並提供客服專線讓消費者詢問相關情形。

臺灣Nokia官網上的聲明稿表示,已將遭駭網站關閉,並將資料庫從伺服器中移除,預計用至少4個禮拜的時間清查影響情形。目前已知遭竊的顧客個人資料多為1年以前,甚至是7年前的舊資料,葉奇鑫表示,不論遭駭的資料是何時蒐集到的,只要有外洩情況都適用於個資法。

根據臺灣Nokia聲明稿表示,此次遭駭的個人資料包括了姓名、電話、電子郵件,以及相關活動所需資料,並沒有醫療相關資料、銀行帳號、信用卡卡號、或身分證號碼等敏感性資料,不過,根據揭露此事件的國外網站Hackread.com訊息指出,遭竊的個資還包括了性別、IP位址、性別、發票號碼與Nokia Lumia、Nokia 610、Nokia 510等手機的IMEI國際行動設備辨識碼、臉書帳號資料。

臺灣Nokia表示,受害資料將不會用在其餘行銷活動上,並提供客服專線,讓消費者詢問該事件相關狀況。以目前情況看來,確定至少17萬筆個資外流,至於包括哪些個資,影響的情形為何,仍須待臺灣Nokia清查後,才會有更多進一步的相關資訊。

而臺灣Nokia為避免釀成更大災害,也已先用簡訊或電子郵件先通知外洩個資中含有密碼的7千位受害當事人,不過,葉奇鑫表示,不只這7千人,臺灣Nokia依法必需採適方式通知其餘恐遭外洩的當事人,不能只在網站上發表聲明稿。

根據個資法施行細則第22條規定,個資法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。個資法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。

也就是說,臺灣Nokia必須採取適當的方式通知其餘的受害當事人,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。

掌握受害當事人電子郵件信箱應主動通知

但是,葉奇鑫認為,臺灣Nokia確切掌握了受害當事人的電子郵件等聯繫資料,可以電子郵件寄送群組信件通知,這樣的作法應不會有成本耗費過鉅的問題,更何況,除了已接到個別通知的7千人以外,其於受害當事人根本無法得知自己的個資是否屬於這次外洩事件的影響範圍內,也因次就不會主動到Nokia官網瀏覽聲明,所以,他認為,Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的通知義務。

臺灣Nokia則表示,目前已委由律師向警方匯報整個事故的始末,後續的動作將交由法務部門處理。至於會不會有任何主動賠償動作或是優惠活動,臺灣Nokia表示目前正在研擬中。

另外,駭客論壇上揭露了這次入侵臺灣Nokia的5個行銷網站,是遭受SQL Injection(資料隱碼)攻擊手法,曾任職資安軟體公司總經理的葉奇鑫表示,會遭受這類攻擊,多半是工程師所設計的程式碼安全性不足,忽略特殊字元的篩檢,或是沒有採購相關的防護軟體與系統,才會產生漏洞。

這也意味著,臺灣Nokia並沒有善盡個資保管的責任,沒有採取適當的安全維護措施來確保網站安全,另外,臺灣Nokia也並未適當監督委外公司安捷達,才會發生如此嚴重的事件。因此,臺灣Nokia的中央事業目的主管機關或是臺北市政府,也應盡快派員進行行政檢查,查核臺灣Nokia個資保護制度落實的程度。

主管機關須視民眾抱怨聲才會執行行政檢查

不過,經濟部商業司第七科科長陳威達則表示,目前經濟部還不會採取任何動作,因為行政檢查是相當強烈的手段,就好像警察進入民宅搜索一般,必須視受害當事人申訴的情況而定,若民眾抱怨聲浪不斷,中央事業目的主管機關才會主動介入整個事件。

此外,負責管理這些遭駭行銷網站的安捷達公司,客戶尚有多家國內外知名大企業,在截稿前,因聯繫不上臺灣Nokia事件的發言人,故無法求證其餘客戶的網站是否沒有安全疑慮。安捷達客戶之一,負責生產高露潔、黑人牙膏的好來化工財務長古華光表示,安捷達所掌握的好來化工客戶個資,存放在另外一臺伺服器上,並非受駭伺服器,目前沒有外洩的疑慮,好來化工也會要求安捷達加強個資保護措施。

而臺灣家樂福公關經理林夢紹表示,僅在節慶或是特殊活動時,會委由安捷達負責網站行銷,目前沒有任何網站是由安捷達管理,而且,家樂福所掌握的個人資料皆由家樂福內部員工負責管理,也就是說,安捷達並不會經手家樂福客戶的個人資料。

 

 

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,達到可訴訟的條件,甚至可能成為首宗個資法團體訴訟的案件。

駭客使用SQL Injection(資料隱碼)攻擊臺灣Nokia的5個行銷網站,曾任職資安軟體公司總經理的葉奇鑫表示,會遭受這類攻擊多半是工程師所設計的程式碼安全性不足,忽略特殊字元的篩檢,才會產生漏洞。顯見臺灣Nokia必沒有善盡個資保管的責任。

臺灣Nokia於2月22日於官方網站上發表受駭聲明稿,表示已關閉遭駭的5個網站,從伺服器中移除資料庫,預計將花至少4個禮拜時間清查影響情形,目前確定至少外洩17萬筆個資,共有150萬筆個資有外洩風險。臺灣Nokia為此向消費者致歉,並提供客服專線讓消費者詢問相關情形。


Advertisement

更多 iThome相關內容