線上問卷製作服務網站Typeform,近期發生資料外洩事件,國外媒體Bleeping Computer在6月底接露此一事件,Typeform在官方網站也有對此事件發表聲明。據了解,這起事件是攻擊者獲取了包含敏感客戶資訊的備份文件,但他們並未公布資料外洩的數量或筆數,僅表示不影響5月3日後的資料,也不包含Typeform本身系統的用戶密碼與付款資訊。但由於備份文件包含了Typeform客戶透過線上問卷所收集的資料,這可能包含像是個人的隱私資料問題,甚至是個人或公司的敏感意見與狀況,比起一般線上服務本身的用戶資料遭駭,這種第三方服務的用戶問卷內容資料,似乎也成為駭客攻擊新鎖定的目標。

後續引發我們持續關注的是,在這起資料外洩事件發生後,由於Typeform服務的企業或組織並不少,因此近日又陸續傳出這些服務對象的資料外洩聲明。因為,他們利用Typeform平臺蒐集民眾的資訊與意見,如果受此事件影響,也同樣要面對資料外洩的問題。

根據Typeform在官方網站的聲明,他們的員工是在6月27日下午兩點,確定發現了入侵的行為。同時,他們也立即對他們的系統安全性進行全面的清查,確定了該漏洞的來源並修補,但沒有具體說明是什麼漏洞。

根據該公司發布的聲明,攻擊者從Typeform的伺服器,獲取包含用戶敏感資料的備份文件,導致資料外洩。這裡提到的備份文件,其實也包括了由Typeform客戶透過調查和線上表格收集的資料。但Typeform表示,這起事件不影響5月3日後的資料,也不包含訂閱的付款資訊(信用卡、地址),以及用戶在Typeform網站的登入密碼,只有收到通知電子郵件的客戶才會受到影響。

但這起事件,已經嚴重影響到使用Typeform作為外部服務的企業與組織

在6月29日,英國行動銀行Monzo也對此發表聲明,他們常用於收集調查結果的Typeform,遭遇資料外洩事件,這導致該銀行有其大約2萬位使用者,在其網站上進行調查的資料已被曝光,他們表示正在徹底調查此事,並已經結束與Typeform的合作關係。對於資料外洩的內容,根據Monzo銀行發布的聲明表示,將包括姓名、城市、年齡層、薪資級別、郵政編碼、舊銀行名稱、Twitter用戶名和所使用電子郵件地址等。

在亞洲地區,有媒體報導匯豐銀行推出的手機支付應用程式PayMe,因採用TypeForm提供的網上問卷調查工具,也受此事件影響,不過我們並未在匯豐網站找到對此發布的公開資訊。根據香港蘋果日報在7月6日的報導,匯豐表示有2,500名的Payme用戶,曾填寫由Typeform提供的問卷服務。基於安全考量,目前他們決定終止與TypeForm的合作關係,並提醒用戶,有心人士可能透過這些取得的資訊,偽冒成PayMe發出的通知郵件,因此要特別留意這樣的可疑電子郵件,不要點擊任何連結或提供任何資料,並立即刪除郵件或聯絡滙豐 (phishing@hsbc.com)。

受影響的不只是銀行,在7月7日傍晚,香港立法會議員莫乃光,也於個人的Facebook專頁上公開表示,他的辦事處使用Typeform提供的網上問卷調查工具,導致曾提交意見的1萬5千名市民的名稱和回覆被外洩,包括當中約9500個Email郵件信箱。他也建議,目前暫時未有證據顯示外洩的資料被不法分子使用,但請使用者提高警惕,尤其是詐騙和垃圾電郵。如果你收到任何聲稱來自我或我的辦事處發出的可疑電郵,請勿點擊任何連結或提供任何個人資料,並立即刪除郵件或聯絡我們(charlesmok@charlesmok.hk)。

至於臺灣,我們只是簡單的Google搜尋網站查詢後,也能發現不少國內企業行銷活動,是使用Typeform來建立問卷表單,蒐集顧客或消費者的相關資訊。因此,企業除了本身的安全防護,合作的第三方業者的安全問題也必須注意,應審慎評估。

Typeform是一個提供問卷調查的服務平臺,提供免費方案與付費方案,採自動調適型網頁設計(Responsive Web Design,RWD),以介面設計、功能與操作方面吸引用戶,成為Google表單的另一選擇,但這次事件後,也讓他們的品牌形象飽受打擊。

線上問卷服務網站Typeform發生備份文件遭駭客獲取事件,導致敏感資料外洩,在6月7日他們發現系統遭入侵,攻擊者從Typeform的伺服器,獲取包含用戶敏感資料的備份文件。

英國行動銀行Monzo,也對Typeform資料外洩事件發表聲明。根據他們的調查,約2萬位使用者在其網站上進行調查的資料已被曝光,他們表示正在徹底調查此事,並已經結束與Typeform的合作關係。

香港立法會資訊科技界議員莫乃光表示,日前接獲Typeform通知,發生個資外洩事件。導致由他辦事處發起的「一人一信反對縮短選舉投票時間」活動,約1.5萬名活動參加者的名稱及回覆被外泄,當中並有約9千5百個電子信箱。因此,莫乃光就此事件向受影響民眾致歉。

關於這次Typeform資料外洩事件,也是有可能影響到臺灣民眾。我們只是簡單的透過Google網站搜尋,就能找到相關內容。在搜尋結果中,第一頁多為Typeform服務介紹與教學的內容,第二頁則可以發現有不少企業的行銷活動,使用Typeform來建立問卷表單,蒐集顧客或消費者的相關資訊與意見。因此,企業除了本身的安全防護,合作的第三方業者的安全問題也必須注意。(圖中搜尋結果為臺灣也有機關單位使用Typeform問卷服務,並不是指這些使用Typeform調查的單位都受到這次個資外洩影響) 

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement