問卷服務網站Typeform資料外洩，並影響多家應用此服務的企業

線上問卷製作服務網站Typeform，近期發生資料外洩事件，國外媒體Bleeping Computer在6月底接露此一事件，Typeform在官方網站也有對此事件發表聲明。據了解，這起事件是攻擊者獲取了包含敏感客戶資訊的備份文件，但他們並未公布資料外洩的數量或筆數，僅表示不影響5月3日後的資料，也不包含Typeform本身系統的用戶密碼與付款資訊。但由於備份文件包含了Typeform客戶透過線上問卷所收集的資料，這可能包含像是個人的隱私資料問題，甚至是個人或公司的敏感意見與狀況，比起一般線上服務本身的用戶資料遭駭，這種第三方服務的用戶問卷內容資料，似乎也成為駭客攻擊新鎖定的目標。

後續引發我們持續關注的是，在這起資料外洩事件發生後，由於Typeform服務的企業或組織並不少，因此近日又陸續傳出這些服務對象的資料外洩聲明。因為，他們利用Typeform平臺蒐集民眾的資訊與意見，如果受此事件影響，也同樣要面對資料外洩的問題。

根據Typeform在官方網站的聲明，他們的員工是在6月27日下午兩點，確定發現了入侵的行為。同時，他們也立即對他們的系統安全性進行全面的清查，確定了該漏洞的來源並修補，但沒有具體說明是什麼漏洞。

根據該公司發布的聲明，攻擊者從Typeform的伺服器，獲取包含用戶敏感資料的備份文件，導致資料外洩。這裡提到的備份文件，其實也包括了由Typeform客戶透過調查和線上表格收集的資料。但Typeform表示，這起事件不影響5月3日後的資料，也不包含訂閱的付款資訊（信用卡、地址），以及用戶在Typeform網站的登入密碼，只有收到通知電子郵件的客戶才會受到影響。

但這起事件，已經嚴重影響到使用Typeform作為外部服務的企業與組織

在6月29日，英國行動銀行Monzo也對此發表聲明，他們常用於收集調查結果的Typeform，遭遇資料外洩事件，這導致該銀行有其大約2萬位使用者，在其網站上進行調查的資料已被曝光，他們表示正在徹底調查此事，並已經結束與Typeform的合作關係。對於資料外洩的內容，根據Monzo銀行發布的聲明表示，將包括姓名、城市、年齡層、薪資級別、郵政編碼、舊銀行名稱、Twitter用戶名和所使用電子郵件地址等。

在亞洲地區，有媒體報導匯豐銀行推出的手機支付應用程式PayMe，因採用TypeForm提供的網上問卷調查工具，也受此事件影響，不過我們並未在匯豐網站找到對此發布的公開資訊。根據香港蘋果日報在7月6日的報導，匯豐表示有2,500名的Payme用戶，曾填寫由Typeform提供的問卷服務。基於安全考量，目前他們決定終止與TypeForm的合作關係，並提醒用戶，有心人士可能透過這些取得的資訊，偽冒成PayMe發出的通知郵件，因此要特別留意這樣的可疑電子郵件，不要點擊任何連結或提供任何資料，並立即刪除郵件或聯絡滙豐 (phishing@hsbc.com)。

受影響的不只是銀行，在7月7日傍晚，香港立法會議員莫乃光，也於個人的Facebook專頁上公開表示，他的辦事處使用Typeform提供的網上問卷調查工具，導致曾提交意見的1萬5千名市民的名稱和回覆被外洩，包括當中約9500個Email郵件信箱。他也建議，目前暫時未有證據顯示外洩的資料被不法分子使用，但請使用者提高警惕，尤其是詐騙和垃圾電郵。如果你收到任何聲稱來自我或我的辦事處發出的可疑電郵，請勿點擊任何連結或提供任何個人資料，並立即刪除郵件或聯絡我們（charlesmok@charlesmok.hk）。

至於臺灣，我們只是簡單的Google搜尋網站查詢後，也能發現不少國內企業行銷活動，是使用Typeform來建立問卷表單，蒐集顧客或消費者的相關資訊。因此，企業除了本身的安全防護，合作的第三方業者的安全問題也必須注意，應審慎評估。

Typeform是一個提供問卷調查的服務平臺，提供免費方案與付費方案，採自動調適型網頁設計（Responsive Web Design，RWD），以介面設計、功能與操作方面吸引用戶，成為Google表單的另一選擇，但這次事件後，也讓他們的品牌形象飽受打擊。

線上問卷服務網站Typeform發生備份文件遭駭客獲取事件，導致敏感資料外洩，在6月7日他們發現系統遭入侵，攻擊者從Typeform的伺服器，獲取包含用戶敏感資料的備份文件。

英國行動銀行Monzo，也對Typeform資料外洩事件發表聲明。根據他們的調查，約2萬位使用者在其網站上進行調查的資料已被曝光，他們表示正在徹底調查此事，並已經結束與Typeform的合作關係。

香港立法會資訊科技界議員莫乃光表示，日前接獲Typeform通知，發生個資外洩事件。導致由他辦事處發起的「一人一信反對縮短選舉投票時間」活動，約1.5萬名活動參加者的名稱及回覆被外泄，當中並有約9千5百個電子信箱。因此，莫乃光就此事件向受影響民眾致歉。

關於這次Typeform資料外洩事件，也是有可能影響到臺灣民眾。我們只是簡單的透過Google網站搜尋，就能找到相關內容。在搜尋結果中，第一頁多為Typeform服務介紹與教學的內容，第二頁則可以發現有不少企業的行銷活動，使用Typeform來建立問卷表單，蒐集顧客或消費者的相關資訊與意見。因此，企業除了本身的安全防護，合作的第三方業者的安全問題也必須注意。(圖中搜尋結果為臺灣也有機關單位使用Typeform問卷服務，並不是指這些使用Typeform調查的單位都受到這次個資外洩影響)