28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司,但發現城邦遲未改善,劉男竟在去年11月7日化身駭客,以「跨網站指令碼」(Cross-Site Scripting,簡稱XSS)攻擊該網站,導致上「POPO」、「起點」網站留言的網友,暱稱全變成「囧」。2個小時後,劉男發電郵向城邦公司自首,並提供解決方式,仍遭城邦提告。北檢審酌劉男只是「白帽駭客」(指為他人測試並增進資訊安全),想提醒該公司網路安全有漏洞,動機出於善意,無意造成嚴重損害,且犯後立刻提供解決方法並道歉,經城邦同意後,今天依妨害電腦使用罪將劉男緩起訴,但須寫2000字以上悔過書,並提供40小時義務勞務。
最近「駭客」這個詞非常熱門,似乎什麼事情用「駭客入侵」來解釋都通了。但是遇到真正的資安事件,大眾期待的反應就不同了。劉姓工程師在看到網站有漏洞的時候,確實發揮了白帽駭客的精神,熱心告知城邦公司處理。但是城邦卻沒有即時給予正面的回應,因此陳工程師就開始採取了更激進的作為,利用攻擊的方式逼迫城邦處理,最後引發此事件。
沒有吃燒餅不會掉芝麻的,也沒有寫網站不會有漏洞的。百密總有一疏,就算程式開發者再小心,也可能會因為其他系統的漏洞遭到入侵。此事件裡的白帽駭客到底是英雄還是罪犯呢?
資安專家翁浩正表示:「在網路上不少對資安有興趣的網友展開了辯論。有的人贊成他的作法,甚至支持進行更嚴重的攻擊,直接把城邦的資料撈出來放網路上。我個人抱持反對的意見。身為資安研究人員,看到網站的漏洞跟弱點不計其數。也經常遇到好心告知對方公司,不理會也罷,甚至反過來認為是我們惡意攻擊對方,要採取法律行動。
在資安意識尚未健全的台灣,要期待公司有非常正面的回應,還有一段路要走。在不少國家,這類型安全問題的回報公司都會樂意接受並進行修補,甚至提供一筆獎金給予找到漏洞的人員。另外,依照不同公司的結構,找對回報的窗口很重要。常常會有找到漏洞直接與客服聯絡但石沈大海的狀況發生。如果真的該公司完全不理會,再來看該做怎樣的處理。有的人覺得像此案陳工程師「舍身取義」的精神值得敬佩,但是就我看來,一來焦點容易遭到模糊、質疑動機,再者對整體資安的風氣是非常不好的。自己已經盡了回報的責任,若告知後該公司還是不進行修補,其暴露在外的安全風險當然就是由該公司自行承擔。用激進的手法,很可能讓自己造成非常不良的影響。」
若是在此案件中,公司的個資不小心被駭客偷走,按個資法第二十七條第一項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」因此,持有個資的企業或網站經營者,依法都負有重大的保管責任。
其次,個資法第二十九條第一項也規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」所以企業或網站經營者若經證明曾接獲資安漏洞通報,卻因故而沒有進行改善措施而導致所存之個資洩漏的話,就並非僅憑「駭客入侵」即能推卸未妥善保護個資的責任了。
以此駭客案件若是個資被竊,該如何做處理?
台灣知名文件保護公司優碩科技總經理黃祖仁表示:「其實市面上已經有許多的資安廠商推出各種不同的個資文件保護方案,使用DLP(Data Leak Prevention )搭配 DRM(Digital Rights Management)權限安控,才能真正解決「直接保護檔案本身」的問題。更能符合在個資法施行細則第12條中,要求把個資文件的使用紀錄、軌跡資料進行保存。這個步驟,首先可以確保所有的個資控管環節之落實,其次也能做到個資文件流向的事後舉證,在萬一意外發生時得以進行自保。」
資料來源:優碩資訊科技http://www.trustview.com.tw/tw/default.aspx
