【硬塞專家開評】Clubhouse 130 萬用戶個資,是「公開資訊」還是「外洩資料」?

回顧整起事件,的確資料本身是公開的,但讓人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正。
評論
Photo Credit: Shutterstock / 達志影像
評論

本篇作者「白帽觀點」致力於將資安技術以深入淺出的方式說明,不管是在開發上、公司政策上,讓大家用各種方面的白帽駭客視角去思考科技。使自己更能掌握資安思維,並且讓產品與企業更安全。本篇內容為 INSIDE 邀請「白帽觀點」評論。

【硬塞專家顧問募集中】硬塞將持續關注網路科技趨勢議題、深度專題,邀請您提供觀點評論,持續透過文字傳遞觀點,激起更多火花並帶來影響力。歡迎來信與我們聯絡:[email protected]

最近 Clubhouse 有一起「資料外洩」的資安事件,即有 130 萬筆用戶資料在駭客論壇上流通。而這起事件中最讓人議論紛紛的地方,在於官方並不認為這是屬於「資料外洩」的資安事件

推薦閱讀:130 萬用戶資料外流駭客論壇,Clubhouse 駁斥:是 API 公開內容

Clubhouse 130 萬用戶個資「被公開」,算不算「資料外洩」?是否存在資安問題?這要讓我們先從「資料分類」開始講起。

資料分類(Data Classification)

在做資安時大家都有一個觀念:任何一個資安防禦策略都是一項成本,無論是時間上或是金錢上。在資源有限的狀態下,我們無法把每筆資料都視為「相當重要」 ,並且無上限地花費預算保護它們。

所以在做資安風險管理時,我們可以適度將資料分成不同等級,依照每個等級的優先權、機密程度,來給予適當的保護措施。

在業界常見資料分類的類別,大致可以分成四種:

  • 公開(Public):任何開放無敏感的資料,像是每個企業的登陸頁(Landing page)、公開形象網站、公開資訊介紹等等。
  • 內部(Internal):只在公司內部使用的資料。若該資料外洩僅會對業務產生輕微影響。常見項目像是公司內部政策、內網資訊、軟體系統資訊等等會被分類在此。
  • 機密(Confidential):只授權特定部門使用的資料。一但外洩將會對企業造成商業損害。如定價、行銷資料、加密金鑰等等。
  • 限制(Restricted):高度敏感的資料,根據「僅知原則(Need to Know Basis)」,僅在「必須知道時」才授與存取權限。如用戶的個人可識別資訊(PII,Personally identifiable information)、信用卡號等,一但外洩將會造成企業財務上、法律上等損害。
Photo Credit: 白帽觀點

我們可以依照這四個分類,定義出 0 - 3 的嚴重等級,0 為公開(Public)、3 為機密(Confidential)。並且根據該等級、現有資源、風險等評估,做出符合該等級的保護措施。

屬於哪個資料類別?

回到新聞內容,Clubhouse 這起事件中這些「被公開」的資料,原本應該被歸類在什麼類別?我們可以從 Cybernews 新聞中看到:

What was leaked?
The leaked database contains a variety of user-related information from Clubhouse profiles, including:
User ID
Name
Photo URL
Username
Twitter handle
Instagram handle
Number of followers
Number of people followed by the user
Account creation date
Invited by user profile name

可以發現被公開的資料中,基本上都是 Clubhouse 使用者的公開資訊,也就是說一般使用者只要使用了 Clubhouse,自然就會將這些資料公開

對於本身「已經公開」的資料,會有「外洩」的可能嗎?答案也許可以從 Clubhouse 在 Twitter 上官方的說明得知:

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API.

Clubhouse 聲明這並未遭駭且並非資料外洩,這些資料皆屬「公開個人資訊(public profile information)」,任何人都可以藉由 App 或 Clubhouse API 來獲得

既然是公開資料,是不需要被保護的,為什麼仍有許多人表示對 Clubhouse 的處理方式感到不滿?也許資安問題並不是出在資料,而是「獲取資料的方式」。

資料沒問題,但行為不允許

在上述官方聲明中,使用者「存取 API」這個動作是允許的。但使用機器人、網頁抓取等「API 濫用(API Abuse)」的動作並不被允許

在 Clubhouse Terms of Service 中有提到:

Intellectual Property Rights
Service Content, Software and Trademarks: … In connection with your use of the Service you will not engage in or use any data mining, robots, scraping or similar data gathering or extraction methods. …

服務條款中其實有聲明使用者不能以機器人、網頁抓取等方式獲取相關資料。

而這次事件,若要獲得大量 130 萬筆用戶資料,則依賴機器人、網頁抓取等「類似的資料獲取方法(similar data gathering or extraction methods)」可能性會非常高。也就是駭客論壇上流通的資料,極高機率是用不適當的手段獲取的,儘管資料本身並不敏感。

回顧整起事件,的確資料本身是公開的、是不需要特別保護的,但讓一些人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正

怎麼防止 API 遭到濫用?

「API 濫用」這樣的問題其實在業界很容易被忽視,而一但發生濫用時很容易損害到用戶的權益。常見的原因是對於 API 的授權過度寬鬆、未限制存取頻率、未主動偵測濫用行為等等所造成。

防止濫用的方法,除了條款上,我們明確制止這樣的行為之外,其實可以從技術面強化和改善 API,降低 API 被濫用的可能性:

  • 請求次數限制(Rate Limit):正常使用者不可能會高頻率地發送 API 請求,可以藉由設定 API 請求次數、頻率限制來防止程式自動化地資料抓取。
  • API 授權:將 API 設計成需驗證和授權才可使用,使用者需在登入後先取得系統發放的 API Token,才可用來請求 API、獲得服務資訊。並且預設不授權使用者過多的 API 權限,可將更多進階 API 功能設定為驗證後開通。
  • 日誌與偵測:系統其實可以從第二點的 API Token 得知使用者使用 API 的情況,可藉由「去除敏感資料後的 API 請求紀錄」,來偵測是否有高頻率、異常請求、濫用等狀況,並且進行後續反應策略。

上述這三種方法是常見抵禦 API 濫用的策略,可藉由較少的成本來獲得防禦效果。更完整的技術防禦與檢驗,可以參考 OWASP Testing Guide 以及 OWASP ASVS 定義的標準來執行。

借鏡

此事事件在評估後,或許僅能稱上是低度風險,讓 Clubhouse 官方僅以 Twitter 發文形式解釋。但畢竟處理資安風險除了技術面之外,後續的公關處理也是一個挑戰。

也許對那些不滿的民眾來說,不管是什麼等級的資安事件,還是會希望官方能以一個「積極保護用戶的態度」來面對。如果在事發時,對用戶發出警告通知、公布採取的防禦策略、事件後續追蹤與報表等,也許都是能讓使用者更放心且信賴的方式。

資安防禦難度很高,要即時反應資安事件也很不容易。這類資料外洩的新聞,希望能警惕我們若是遭遇高風險資安威脅,能更積極面對用戶、並且主動採取防禦策略。

責任編輯:MindyLi
核稿編輯:Mia

延伸閱讀:



台灣人偏好的威士忌風味?甜美風味是大宗,帶果香、蜜香風味威士忌男女皆愛

台灣每人一年平均品飲 2.3 瓶威士忌。不過,隨著女性愛好者逐年增加、族群年輕化的全球趨勢,威士忌的喜好風向正默默地變化著,更同時影響著國際酒廠推出熱門酒品的未來計劃。TNL Research 關鍵議題研究中心針對普羅大眾進行了威士忌的品飲喜好調查。
評論
評論

每年近 800 億元規模的台灣酒類市場中,威士忌最是一大重點。然而,近年來品醇族群結構的變化,加上酒友們對風味的求新求變,不少品牌開始尋覓下一個令人沈醉的風味。未來台灣威士忌市場主流,將吹向哪種風味的酒品呢?TNL Research 關鍵議題研究中心針對普羅大眾進行了威士忌的品飲喜好調查。

根據蘇格蘭威士忌協會公佈的 2021 年國際出口市場表現報告,台灣這個僅 2300 萬總人口的市場,一年竟進口了將近新台幣 85 億元的蘇格蘭威士忌,在全球排名第三。若再加上日本、美國等其他產地的酒品,統計資料也顯示全年威士忌市場消費總金額約 550 億新台幣,台灣每人一年平均品飲 2.3 瓶威士忌。不過,隨著女性愛好者逐年增加、族群年輕化的全球趨勢,威士忌的喜好風向正默默地變化著,更同時影響著國際酒廠推出熱門酒品的未來計劃。

三分之一女性愛好者  有力影響威士忌市場風潮

根據TNL Research關鍵議題研究中心於 7 月 11~12 日,針對年齡分布於 30 歲以上 ShareParty 會員所進行的「威士忌品飲習慣調查」,分析 376 份有效回收問卷之後發現,40.9% 受訪者有品飲威士忌的習慣,且男女比例已達逼近 2:1 之譜,顯見女性在威士忌同好族群中已成長至三分之一的比例,其風味喜好必將更具市場聲量。

Photo Credit:TNL Brand Studio

然而,再進一步詢問關於威士忌風味的偏好,倒是能從中一窺在男女族群上的異同處。台灣民眾近年來普遍偏好風味較為甜美、順口易入喉的威士忌,而兼具有果香者獲得最多受訪者的喜愛(57.4%),其次則是帶有蜂蜜風味之酒品(36.3%)。至於較具獨特個性的煙燻風味,訪問後倒是出現了35.9%男性喜愛,但僅有 14.5% 女性能夠接受的明顯差異。

提到風味甜美的威士忌,深諳威士忌的酒友們,腦海中必然會浮現百富單一麥芽威士忌。百富的傳奇首席調酒師大衛史都華(David C. Stewart),運用將近 60 年的經驗和深厚的製酒工藝,讓標誌性的「香甜蜂蜜」風味在每一款百富威士忌中都有一致但又獨特的展現。而大衛史都華更令人讚賞不已的,是他於 1980 年代所發明的「過桶」(Cask Finish)工藝:先將威士忌置於傳統橡木桶中熟成若干年後,再移至另一種橡木桶進行第二次的熟成,而二次熟成的時間並非定數,全靠大衛史都華帶領團隊的耐心定期監控,直到他滿意其風味之後,方才進行裝瓶。40 年來運用「過桶」工藝,百富將酒廠經典的蜂蜜、香草基調,變幻出多樣的迷人風貌,因而廣受全球消費者歡迎。

私聊聚會  最是品飲威士忌的好時機

Photo Credit: 百富

關於最適合享飲威士忌的生活情境,則有近七成(68.8%)受訪者鍾意於私人會所或家庭聚餐時,與三五好友共享黃金酒液,其次還有「商務應酬場合」(35.9%)及「餐廳等公開場合聚會」(35.6%)成為品飲威士忌的常見場景;也有超過三成(32.8%)受訪者鍾愛與另一伴在家中親密啜飲。

若要在私聚餐會上品飲明顯具有果香風味的威士忌,百富 12 年雙桶 DoubleWood 是威士忌愛好者的首選之一。百富首席調酒師大衛史都華精選首次裝桶之 Oloroso 雪莉桶,陳放 9 個月過桶的百富 12 年雙桶單一麥芽威士忌,從 1993 年販售迄今已近 30 年,為百富的最經典酒款。此外,百富酒廠歷史上推出的第二種過桶酒款:百富 21 年波特酒桶 PortWood 威士忌,經長時間窖藏熟成,醞釀極具深度的風味,是百富獲得首獎最多,也是首席調酒師大衛史都華個人最愛的酒款之一。

首創過桶工藝  讓百富威士忌在甜美蜂蜜風味上  更增添多變的層次

Photo Credit: 百富

最後,綜合分析威士忌市場的主流風味,果香、蜂蜜、煙燻和花香是台灣民眾鍾愛的四大風味。然而,想要品飲這四種風味,藉由百富首創的過桶工藝,體驗品牌經典的香甜蜂蜜風味之餘,如果想要體驗熱帶水果的果香,就可選擇百富 14 年加勒比海蘭姆桶單一麥芽威士忌。過桶加勒比海蘭姆酒桶(Rum)的金黃酒液,先帶來熱帶水果、熱帶香料及太妃糖的香氣,再引出香草、橡木桶甜味,口感濃厚圓潤,餘韻柔和且綿長。

若是喜歡煙燻泥煤風味,百富故事系列 14 年泥煤週威士忌是個很好的選擇,溫和的煙燻泥煤融合著細緻奶油蜂蜜氣息與淡雅花香調,品飲時還能感受到些微的柑橘和橡木氣息,猶如天鵝絲絨般的滑順飽滿口感,加上引出水果香氣的尾韻層次變化,怎會不讓人念念難忘。

Photo Credit:百富

近來領先全球、在台首發上市的百富 16 年法國皮諾甜酒桶單一麥芽威士忌,是百富首席調酒師大衛史都華的最新傑作,先在美國橡木桶陳年 16 年,再經由法國皮諾甜酒桶二次熟成,讓百富的蜂蜜甜香層疊出更多層次感,不僅讓品飲者能嗅聞到美妙平衡的蓮花與天竺葵花香,更有蜂蜜基調和細緻蜜餞、嫩薑辛香,加上清爽順口的尾韻,豐富感受、很是令人著迷。

一心一藝,百富持續以「過桶工藝」在標誌性的香甜蜂蜜風味之上,尋找新的可能。相信只要曾感受過桶工藝的魔幻般奧妙,肯定會為台灣日益增長的威士忌愛好者族群,開拓出更為寬廣多元的嗅味覺體驗疆域。