【硬塞專家開評】Clubhouse 130 萬用戶個資,是「公開資訊」還是「外洩資料」?

回顧整起事件,的確資料本身是公開的,但讓人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正。
評論
Photo Credit: Shutterstock / 達志影像
評論

本篇作者「白帽觀點」致力於將資安技術以深入淺出的方式說明,不管是在開發上、公司政策上,讓大家用各種方面的白帽駭客視角去思考科技。使自己更能掌握資安思維,並且讓產品與企業更安全。本篇內容為 INSIDE 邀請「白帽觀點」評論。

【硬塞專家顧問募集中】硬塞將持續關注網路科技趨勢議題、深度專題,邀請您提供觀點評論,持續透過文字傳遞觀點,激起更多火花並帶來影響力。歡迎來信與我們聯絡:[email protected]

最近 Clubhouse 有一起「資料外洩」的資安事件,即有 130 萬筆用戶資料在駭客論壇上流通。而這起事件中最讓人議論紛紛的地方,在於官方並不認為這是屬於「資料外洩」的資安事件

推薦閱讀:130 萬用戶資料外流駭客論壇,Clubhouse 駁斥:是 API 公開內容

Clubhouse 130 萬用戶個資「被公開」,算不算「資料外洩」?是否存在資安問題?這要讓我們先從「資料分類」開始講起。

資料分類(Data Classification)

在做資安時大家都有一個觀念:任何一個資安防禦策略都是一項成本,無論是時間上或是金錢上。在資源有限的狀態下,我們無法把每筆資料都視為「相當重要」 ,並且無上限地花費預算保護它們。

所以在做資安風險管理時,我們可以適度將資料分成不同等級,依照每個等級的優先權、機密程度,來給予適當的保護措施。

在業界常見資料分類的類別,大致可以分成四種:

  • 公開(Public):任何開放無敏感的資料,像是每個企業的登陸頁(Landing page)、公開形象網站、公開資訊介紹等等。
  • 內部(Internal):只在公司內部使用的資料。若該資料外洩僅會對業務產生輕微影響。常見項目像是公司內部政策、內網資訊、軟體系統資訊等等會被分類在此。
  • 機密(Confidential):只授權特定部門使用的資料。一但外洩將會對企業造成商業損害。如定價、行銷資料、加密金鑰等等。
  • 限制(Restricted):高度敏感的資料,根據「僅知原則(Need to Know Basis)」,僅在「必須知道時」才授與存取權限。如用戶的個人可識別資訊(PII,Personally identifiable information)、信用卡號等,一但外洩將會造成企業財務上、法律上等損害。
Photo Credit: 白帽觀點

我們可以依照這四個分類,定義出 0 - 3 的嚴重等級,0 為公開(Public)、3 為機密(Confidential)。並且根據該等級、現有資源、風險等評估,做出符合該等級的保護措施。

屬於哪個資料類別?

回到新聞內容,Clubhouse 這起事件中這些「被公開」的資料,原本應該被歸類在什麼類別?我們可以從 Cybernews 新聞中看到:

What was leaked?
The leaked database contains a variety of user-related information from Clubhouse profiles, including:
User ID
Name
Photo URL
Username
Twitter handle
Instagram handle
Number of followers
Number of people followed by the user
Account creation date
Invited by user profile name

可以發現被公開的資料中,基本上都是 Clubhouse 使用者的公開資訊,也就是說一般使用者只要使用了 Clubhouse,自然就會將這些資料公開

對於本身「已經公開」的資料,會有「外洩」的可能嗎?答案也許可以從 Clubhouse 在 Twitter 上官方的說明得知:

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API.

Clubhouse 聲明這並未遭駭且並非資料外洩,這些資料皆屬「公開個人資訊(public profile information)」,任何人都可以藉由 App 或 Clubhouse API 來獲得

既然是公開資料,是不需要被保護的,為什麼仍有許多人表示對 Clubhouse 的處理方式感到不滿?也許資安問題並不是出在資料,而是「獲取資料的方式」。

資料沒問題,但行為不允許

在上述官方聲明中,使用者「存取 API」這個動作是允許的。但使用機器人、網頁抓取等「API 濫用(API Abuse)」的動作並不被允許

在 Clubhouse Terms of Service 中有提到:

Intellectual Property Rights
Service Content, Software and Trademarks: … In connection with your use of the Service you will not engage in or use any data mining, robots, scraping or similar data gathering or extraction methods. …

服務條款中其實有聲明使用者不能以機器人、網頁抓取等方式獲取相關資料。

而這次事件,若要獲得大量 130 萬筆用戶資料,則依賴機器人、網頁抓取等「類似的資料獲取方法(similar data gathering or extraction methods)」可能性會非常高。也就是駭客論壇上流通的資料,極高機率是用不適當的手段獲取的,儘管資料本身並不敏感。

回顧整起事件,的確資料本身是公開的、是不需要特別保護的,但讓一些人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正

怎麼防止 API 遭到濫用?

「API 濫用」這樣的問題其實在業界很容易被忽視,而一但發生濫用時很容易損害到用戶的權益。常見的原因是對於 API 的授權過度寬鬆、未限制存取頻率、未主動偵測濫用行為等等所造成。

防止濫用的方法,除了條款上,我們明確制止這樣的行為之外,其實可以從技術面強化和改善 API,降低 API 被濫用的可能性:

  • 請求次數限制(Rate Limit):正常使用者不可能會高頻率地發送 API 請求,可以藉由設定 API 請求次數、頻率限制來防止程式自動化地資料抓取。
  • API 授權:將 API 設計成需驗證和授權才可使用,使用者需在登入後先取得系統發放的 API Token,才可用來請求 API、獲得服務資訊。並且預設不授權使用者過多的 API 權限,可將更多進階 API 功能設定為驗證後開通。
  • 日誌與偵測:系統其實可以從第二點的 API Token 得知使用者使用 API 的情況,可藉由「去除敏感資料後的 API 請求紀錄」,來偵測是否有高頻率、異常請求、濫用等狀況,並且進行後續反應策略。

上述這三種方法是常見抵禦 API 濫用的策略,可藉由較少的成本來獲得防禦效果。更完整的技術防禦與檢驗,可以參考 OWASP Testing Guide 以及 OWASP ASVS 定義的標準來執行。

借鏡

此事事件在評估後,或許僅能稱上是低度風險,讓 Clubhouse 官方僅以 Twitter 發文形式解釋。但畢竟處理資安風險除了技術面之外,後續的公關處理也是一個挑戰。

也許對那些不滿的民眾來說,不管是什麼等級的資安事件,還是會希望官方能以一個「積極保護用戶的態度」來面對。如果在事發時,對用戶發出警告通知、公布採取的防禦策略、事件後續追蹤與報表等,也許都是能讓使用者更放心且信賴的方式。

資安防禦難度很高,要即時反應資安事件也很不容易。這類資料外洩的新聞,希望能警惕我們若是遭遇高風險資安威脅,能更積極面對用戶、並且主動採取防禦策略。

責任編輯:MindyLi
核稿編輯:Mia

延伸閱讀:



智慧照護新革命!AI 機器人成為智慧醫療助手

高齡化浪潮來襲, 2025 年台灣將步入超高齡社會,65 歲以上人口佔比超過 20%。高齡化加上少子化,衍生勞動力短缺不足,經濟部工業局推動「電子資訊智慧製造服務系統推動計畫」,加速服務型機器人產業發展,借鏡日本智慧長照現況,把科技導入照護場域,提升更好的生活品質。
評論
Photo Credit:經濟部工業局
評論

日本是全球高齡化程度最高的國家,而台灣高齡化的腳步愈來愈快,僅剩不到 5 年的時間準備。因應長期照顧與醫療照護需求,各單位紛紛投入 AI 應用服務,解決人口結構改變問題。綜觀以 AIoT(物聯網 + 人工智慧)為核心的智慧醫療趨勢,可輔助醫療流程、節省人力成本,更提升照護服務效率,為高齡化社會帶來了新的解方。

Photo Credit:經濟部工業局
台日照護機器人交流會邀請各界分享照護機器人開發與應用案例與經驗。

人工智慧產業前景看好

人類壽命越來越長,智慧醫療正逐步顛覆傳統醫療模式,從遠距醫療、機器人、物聯網到穿戴式裝置,龐大潛在商機吸引國際科技大廠投入。台灣醫療服務水準居亞洲領先地位,尤其是資通訊科技實力鏈結全世界,創新能力與解決方案屢屢獲得市場矚目。當人工智慧遇上健康醫療,擴展未來醫療的無限可能,對社會大眾都有切身影響,不僅引領新一波商業浪潮,也創造出更多的照護服務模式。

醫療與科技結合,帶來新變革也帶動數位時代轉型新契機,未來將有更多關於智慧醫療的布局,解決人口高齡化的社會問題。從另一個面向來看,人口快速老化促使長期照護需求,服務人力是建置完整體系的關鍵因素,衛福部在政策面不斷調整適當的滾動式管理。目前長照 2.0 擴增老年照護服務,以及任何年齡的失能身心障礙者,從長照人力需求來說,缺工現象嚴重,照護機器人將成為醫療、長照的主力。

台日照護機器人交流會

為提供台灣照護場域導入智慧科技之契機,在經濟部工業局指導下,服務型機器人聯盟與台灣智慧樂齡照護創新科技產業大聯盟於 5 月 6 日攜手舉辦「台日照護機器人交流會」,邀請各領域專家分享實務現況,作為研發製造與場域運用參考。經濟部工業局林青嶔簡任技正表示,隨著科技迅速發展,智慧醫療創新服務產業生態系逐漸茁壯,5G 落地、AI 應用更多元,機器人正在改革醫療世界。

圖2_經濟部工業局林青嶔簡任技正表示,超高齡社會即將來臨,透過服務型機器人創新科
Photo Credit:經濟部工業局
經濟部工業局林青嶔簡任技正表示,超高齡社會即將來臨,透過服務型機器人創新科技能解決照護人力議題。

「台灣和日本一樣,面臨急速老化的超高齡社會,因此對於熟齡及身障者的照護非常重要。呼應長照 2.0 政策,應用科技打造更多元化、人性化的服務,AI 及智慧機器人的運用更是未來顯學。」林青嶔簡任技正分享觀點,這場交流會聚焦台日相關經驗分享與討論,加速業者與國際連結。台灣具有精密機電與 ICT 產業供應體系的優勢,發展機器人科技的腳步正迎頭趕上歐美日等國家,尤其是服務型機器人產業,將是台灣製造業的明日之星!

圖3_因應疫情,透過網路視訊方式進行交流,雙邊合作討論熱烈。
Photo Credit:經濟部工業局
因應疫情,透過網路視訊方式進行交流,雙邊合作討論熱烈。

促成更多元的服務應用

透過「台日照護機器人交流會」,日本 ATA 協會五島清國部長、日方企業 Reif 與 Whill,以及台方微星科技、全智通機器人、福寶科技分享照護機器人的開發與普及應用現況,透過創新科技解決照護難題。照護機器人的開發,必須掌握使用者需求、符合未來照護趨勢,再藉由實體實驗場域的調校,完美融入生活當中。微星科技、全智通機器人、福寶科技旗下的產品已分別應用於物流、醫療、清潔等領域;因應新冠肺炎疫情的「低接觸」服務型態需求,更加快普及速度。

圖4_日本ATA協會五島清國部長強調照護機器人必須貼近使用者,幫助提升生活品質。
Photo Credit:經濟部工業局
日本 ATA 協會五島清國部長強調照護機器人必須貼近使用者,幫助提升生活品質。

服務型機器人的創新應用在不同領域逐漸成形,經濟部工業局透過政策資源、科專計畫等大力推動服務型機器人產業化,協助企業轉型發展機器人新事業動能或新創公司設立,包括微星、東元、佳世達、凌群等企業。另外,2018 年成立的「服務型機器人聯盟」,由資策會服創所與台灣智慧自動化與機器人協會(智動協會)合作發起,結合政府及民間力量整合產業鏈上中下游資源,共組國家隊搶攻國內外市場。

服務型機器人聯盟今年度規劃「2021 ROBO COM 蘿蔔控」創意實證競賽,延續場域實證的精神,擴大研發能量及市場化企圖。聯盟持續引入資源,推動機器人業者和學研團隊合作,展開技術及實務交流,共同激盪具市場潛力的創新方案。


 「2021 ROBO COM 蘿蔔控」服務型機器人創意實證競賽資訊

  • 報名期間:即日起至 5 月 15 日
  • 競賽期間:6 月 15 日 - 9 月 30 日
  • 報名資格:不限年齡、學生團隊、社會人士、非營利組織、地方社團乃至公司行號都可組隊報名
  • 組隊資格:接受個人挑戰或多人組隊,團體至多6人

立即前往活動報名頁面了解更多!

經濟部工業局 廣告