資訊安全最弱的一環

日前無名小站網管發生問題，造成原本需要密碼登入的「私密影音資料」外洩；博客來網路書店在註冊成功通知信裡洩漏金馬影展訂票人的個人資料（個資）；政府郵寄罰單沒使用信封，造成數萬人的身分資料曝光；臺灣肺結核列管病人的名單可以從Google搜尋得到；信用卡代辦人員，將個資轉賣給犯罪集團。上述新聞在在顯示，臺灣的個資外洩相當嚴重。

不過，國外也沒好到哪裡去。英國政府將記錄全國半數人民個資的光碟片寄丟；美國國稅局將存有納稅人資料的磁帶弄丟；波音公司員工被偷的筆記型電腦內含38萬2千名現職及退休員工的機密資料；2006年美國個人資料外洩數量突破1億筆。包括波音、美國退伍軍人事務部、HP、McAfee、加州大學，都造成許多民眾的個資外洩。

上述重大個資外洩事件，是否也讓你憂心忡忡？更恐怖的是，這些資料外洩並非駭客所為，而是個資管理者或經辦人的疏失。你是否也和我一樣領悟到，資訊安全最弱的一環在於人，這些無法讓人信賴的人散布在各行各業，甚至政府機關，但我們卻無法掌握他們的素質。

個人資訊持有或經手人如果是蓄意外洩資料，幾乎都是將資料出售圖利；如果不是蓄意的，可能是因為疏忽導致資料曝光，或者因為資安意識不高而使電腦被植入木馬竊取資料。有些人儘管具有資訊安全觀念，但碰到不熟悉的科技，其電腦也可能出現資安漏洞。

甚至，許多號稱由駭客所為的資料外洩事件，其實是當事者避重就輕的卸責之詞。明明是內部人員缺乏資安觀念，所以才會門戶洞開，導致資料外洩。門都打開了，隨便阿貓阿狗都可以輕易取得資料，哪需要什麼駭客技巧？所以「個資經手人」對於資安的危害，比我們想像中來得嚴重。

個資經手人相當多，每個人都可能成為個資外洩的一環，更別提現在服務與管理外包、人力派遣、臨時雇員等工作型態普遍化下，造成能接觸個資的人變多，資料外洩的機會自然提高。

Paris Hilton的手機遺失，造成好萊塢眾多名人的電話曝光；某些公司寄送E-mail時，直接用CC（副本）的方式，讓所有收件人可以在信件上看見其他收件者名稱及E-mail，不小心洩漏顧客名單。一般人認為私人電話和E-mail不是很重要的個資，外洩只會造成電話騷擾和垃圾郵件的增加。但其實，這往往是釣魚的第一步，後續甚至會造成更多個資外洩。

我經常收到以Bank of America和PayPal為名義的釣魚信件。網路釣魚詐騙大多假借銀行名義發出E-mail，引誘受害者到虛設的銀行網站，輸入個人帳戶等機密資料，歹徒再利用得手的資料，以網路轉帳洗劫受害人的帳戶。

社交網站流行，讓個資外洩的狀況越來越嚴重。例如Facebook預設的資料顯示設定，允許同一社群網路的使用者──很可能成千上百人──觀看彼此的資料，因此任何人只要加入特定社群，則他的資料很可能會被所屬社群內的任何人一覽無遺。

上述的銀行、社交、購物這三種網站，剛好是目前最需要線上輸入個資的網站。我不使用線上銀行，我只有在Amazon.com上進行線上購物，我也不玩社交網站、不加入需要輸入個資的論壇，以盡量減少別人持有我的個資的機會。

儘管我如此小心，但是政府依然有我的個資，所以每次政府一有個資外洩的烏龍事件，總是讓我覺得很可怕。人民將如此重要的個人資料（不得不）交到政府手中，但政府卻時常出紕漏。每一次的個資外洩，都讓人民對政府漸漸失去信任。

但我還是慶幸我們生在臺灣，而不是英國。

2007年10月，英國發生有史以來最嚴重的個人資料外洩烏龍，儲存近兩千五百萬筆英國民眾個資的兩張光碟，在郵寄過程中遺失。這個尷尬的大烏龍也創下世界記錄，從來沒有任何一國政府能夠一次讓如此多的國民資料面臨外洩危機。這個事件影響到英國六千萬人中將近半數人口的銀行資料可能外洩，並且遭到盜用盜領。消息曝光後英國民眾大為恐慌，後續可能有數百萬英國人向銀行查閱帳戶資料或更改提款密碼。

個資一旦外洩，人與財都有失的可能。你可以體會個資被犯罪集團利用而造成「財」的損失，至於「人」的損失，你可能很難體會，剛好最近我身邊朋友就有這樣的例子：A把生日與「時辰」（這當然也算個資）告訴B，結果B拿A的個資偷偷去作法（還弄了個小紙人），想藉此讓A愛上B……。

告訴你這麼驚悚的故事，只是想要提醒你，一旦個資外洩，什麼歹事都有可能發生在你身上。你可能存款一夕歸零，你可能惹上官司，你可能多出一個老婆。個資外洩，後患無窮！

蔡學鏞－技術顧問
清華大學資訊工程碩士，曾任華碩集團軟體工程師、元智大學資訊系講師、美商歐萊禮出版社技術編輯、臺灣微軟特約專欄作家。