【硬塞專家開評】Clubhouse 130 萬用戶個資,是「公開資訊」還是「外洩資料」?

回顧整起事件,的確資料本身是公開的,但讓人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正。
評論
Photo Credit: Shutterstock / 達志影像
評論

本篇作者「白帽觀點」致力於將資安技術以深入淺出的方式說明,不管是在開發上、公司政策上,讓大家用各種方面的白帽駭客視角去思考科技。使自己更能掌握資安思維,並且讓產品與企業更安全。本篇內容為 INSIDE 邀請「白帽觀點」評論。

【硬塞專家顧問募集中】硬塞將持續關注網路科技趨勢議題、深度專題,邀請您提供觀點評論,持續透過文字傳遞觀點,激起更多火花並帶來影響力。歡迎來信與我們聯絡:[email protected]

最近 Clubhouse 有一起「資料外洩」的資安事件,即有 130 萬筆用戶資料在駭客論壇上流通。而這起事件中最讓人議論紛紛的地方,在於官方並不認為這是屬於「資料外洩」的資安事件

推薦閱讀:130 萬用戶資料外流駭客論壇,Clubhouse 駁斥:是 API 公開內容

Clubhouse 130 萬用戶個資「被公開」,算不算「資料外洩」?是否存在資安問題?這要讓我們先從「資料分類」開始講起。

資料分類(Data Classification)

在做資安時大家都有一個觀念:任何一個資安防禦策略都是一項成本,無論是時間上或是金錢上。在資源有限的狀態下,我們無法把每筆資料都視為「相當重要」 ,並且無上限地花費預算保護它們。

所以在做資安風險管理時,我們可以適度將資料分成不同等級,依照每個等級的優先權、機密程度,來給予適當的保護措施。

在業界常見資料分類的類別,大致可以分成四種:

  • 公開(Public):任何開放無敏感的資料,像是每個企業的登陸頁(Landing page)、公開形象網站、公開資訊介紹等等。
  • 內部(Internal):只在公司內部使用的資料。若該資料外洩僅會對業務產生輕微影響。常見項目像是公司內部政策、內網資訊、軟體系統資訊等等會被分類在此。
  • 機密(Confidential):只授權特定部門使用的資料。一但外洩將會對企業造成商業損害。如定價、行銷資料、加密金鑰等等。
  • 限制(Restricted):高度敏感的資料,根據「僅知原則(Need to Know Basis)」,僅在「必須知道時」才授與存取權限。如用戶的個人可識別資訊(PII,Personally identifiable information)、信用卡號等,一但外洩將會造成企業財務上、法律上等損害。
Photo Credit: 白帽觀點

我們可以依照這四個分類,定義出 0 - 3 的嚴重等級,0 為公開(Public)、3 為機密(Confidential)。並且根據該等級、現有資源、風險等評估,做出符合該等級的保護措施。

屬於哪個資料類別?

回到新聞內容,Clubhouse 這起事件中這些「被公開」的資料,原本應該被歸類在什麼類別?我們可以從 Cybernews 新聞中看到:

What was leaked?
The leaked database contains a variety of user-related information from Clubhouse profiles, including:
User ID
Name
Photo URL
Username
Twitter handle
Instagram handle
Number of followers
Number of people followed by the user
Account creation date
Invited by user profile name

可以發現被公開的資料中,基本上都是 Clubhouse 使用者的公開資訊,也就是說一般使用者只要使用了 Clubhouse,自然就會將這些資料公開

對於本身「已經公開」的資料,會有「外洩」的可能嗎?答案也許可以從 Clubhouse 在 Twitter 上官方的說明得知:

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API.

Clubhouse 聲明這並未遭駭且並非資料外洩,這些資料皆屬「公開個人資訊(public profile information)」,任何人都可以藉由 App 或 Clubhouse API 來獲得

既然是公開資料,是不需要被保護的,為什麼仍有許多人表示對 Clubhouse 的處理方式感到不滿?也許資安問題並不是出在資料,而是「獲取資料的方式」。

資料沒問題,但行為不允許

在上述官方聲明中,使用者「存取 API」這個動作是允許的。但使用機器人、網頁抓取等「API 濫用(API Abuse)」的動作並不被允許

在 Clubhouse Terms of Service 中有提到:

Intellectual Property Rights
Service Content, Software and Trademarks: … In connection with your use of the Service you will not engage in or use any data mining, robots, scraping or similar data gathering or extraction methods. …

服務條款中其實有聲明使用者不能以機器人、網頁抓取等方式獲取相關資料。

而這次事件,若要獲得大量 130 萬筆用戶資料,則依賴機器人、網頁抓取等「類似的資料獲取方法(similar data gathering or extraction methods)」可能性會非常高。也就是駭客論壇上流通的資料,極高機率是用不適當的手段獲取的,儘管資料本身並不敏感。

回顧整起事件,的確資料本身是公開的、是不需要特別保護的,但讓一些人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正

怎麼防止 API 遭到濫用?

「API 濫用」這樣的問題其實在業界很容易被忽視,而一但發生濫用時很容易損害到用戶的權益。常見的原因是對於 API 的授權過度寬鬆、未限制存取頻率、未主動偵測濫用行為等等所造成。

防止濫用的方法,除了條款上,我們明確制止這樣的行為之外,其實可以從技術面強化和改善 API,降低 API 被濫用的可能性:

  • 請求次數限制(Rate Limit):正常使用者不可能會高頻率地發送 API 請求,可以藉由設定 API 請求次數、頻率限制來防止程式自動化地資料抓取。
  • API 授權:將 API 設計成需驗證和授權才可使用,使用者需在登入後先取得系統發放的 API Token,才可用來請求 API、獲得服務資訊。並且預設不授權使用者過多的 API 權限,可將更多進階 API 功能設定為驗證後開通。
  • 日誌與偵測:系統其實可以從第二點的 API Token 得知使用者使用 API 的情況,可藉由「去除敏感資料後的 API 請求紀錄」,來偵測是否有高頻率、異常請求、濫用等狀況,並且進行後續反應策略。

上述這三種方法是常見抵禦 API 濫用的策略,可藉由較少的成本來獲得防禦效果。更完整的技術防禦與檢驗,可以參考 OWASP Testing Guide 以及 OWASP ASVS 定義的標準來執行。

借鏡

此事事件在評估後,或許僅能稱上是低度風險,讓 Clubhouse 官方僅以 Twitter 發文形式解釋。但畢竟處理資安風險除了技術面之外,後續的公關處理也是一個挑戰。

也許對那些不滿的民眾來說,不管是什麼等級的資安事件,還是會希望官方能以一個「積極保護用戶的態度」來面對。如果在事發時,對用戶發出警告通知、公布採取的防禦策略、事件後續追蹤與報表等,也許都是能讓使用者更放心且信賴的方式。

資安防禦難度很高,要即時反應資安事件也很不容易。這類資料外洩的新聞,希望能警惕我們若是遭遇高風險資安威脅,能更積極面對用戶、並且主動採取防禦策略。

責任編輯:MindyLi
核稿編輯:Mia

延伸閱讀:



科技賦能創新突圍——愛酷智能科技舉辦 MarTech Salon,為企業創造數據驅動新價值

自 2018 年成立以來,愛酷智能科技深耕 AI 與 MarTech 領域,在行銷科技應用上擁有專業並豐富的實務經驗。MarTech Salon 系列活動旨在創造一個行銷科技交流平台,透過各領域講師及產業先行者的分享,協助企業掌握 MarTech 新趨勢,在數位新浪潮中搶得先機。
評論
圖片來源:愛酷智能科技
評論

愛酷智能科技於 9/29 (三) 舉辦今年第一場 MarTech Salon「用聊天機器人,輕鬆培養忠誠用戶!」,吸引數百位參與者共襄盛舉,包含中小企業主、品牌行銷人、行銷代理商等經理人。活動分享最新 ChatBot 對話式商務趨勢、顧客數據整合技術、會員標籤應用,並解析 AI 與 MarTech 的策略性思維。

圖片來源:愛酷智能科技

行銷 5.0 時代,One ID 科技賦能

行銷 5.0 的時代注重「技術」與「人性」融合的全方位戰略,打造更完善的顧客體驗 (CX, Customer Experience),加上面對資訊的爆炸,企業的痛點在於多渠道破碎資料整合的困難。

透過 One ID 整合消費者與品牌的互動歷程,企業能夠將匿名資料,即網路上的任何瀏覽行為,納入行銷決策的參考依據。愛酷商務解決方案暨夥伴關係經理 Perry Wang 在分享中提到:「One ID 技術追蹤本我、自我、超我外的第四個我,也就是『匿名我』。」

Perry Wang 舉房仲產業應用做進一步解釋,房仲市場成交的關鍵,在於業務服務的精準度,仔細發掘顧客真正的需求,推薦適合的物件。然而,過往消費者經常心口不一,難以取得真正的需求,透過愛酷 One ID 追蹤技術,能將顧客在網頁瀏覽的物件類型、地段、價格數據一次收整,隨著預約賞屋的名單,派送到業務手中,洞察顧客的行為,進而做到房產智慧推薦,提升成交機會。

運用聊天機器人,打造多元運用情境

「對話式商務」之所以能成為現今極具潛力與商機的行銷模式,原因在於品牌透過通訊軟體主動出擊,能創造與消費者間更多元的接觸點及對話機會。愛酷顧客成功經理 Wayne Chen 在講座中分享使用聊天機器人的六大目的:「聰明運用 ChatBot,將能夠提升行銷溝通效率,滿足『會員募集』、『增加品牌知名度』、『協助客服』、『搜集顧客意見』、『推播再行銷』、『引導購物』。」

活動中,來賓針對聊天機器人服務也萌生許多問題,包含如何評估 ChatBot 需求、需做哪些前置準備等。Wayne Chen 建議企業首先應思考創建聊天機器人的目的,例如:提高來客率、會員系統服務建置、業務轉型等;接著分析企業想搜集的資訊、提供給顧客的服務、用科技解決的行銷問題,進而透過創意活動培養忠誠用戶。

會員精準貼標,創造有效互動

投資對話式商務工具、透過創意增粉操作與用戶互動後,分群分眾與需求深度挖掘則是企業下一步應掌握的重點。愛酷行銷經理 Eason Huang 說明:「透過標籤系統,能逐層剖析顧客的行為輪廓,提升溝通內容的精準性。」愛酷智能科技協助顧客從命名規則著手,將標籤分成靜態、動態類型,並加入標籤層級的關係架構,以達到在對的時間,與對的人,溝通對的內容。

Eason Huang 進一步建議,企業在運用標籤系統與用戶互動時,應至少都包含「完善用戶輪廓」、「探勘用戶興趣」、「引導用戶行為」其一目的,「提升營收」僅是結果。不論是透過靜動標籤調查用戶喜好、推進用戶成為會員或是為了下一次的活動佈局,企業都應制定明確的目標以創造真正有效的互動。

從數據整合技術、聊天機器人應用到標籤深度規劃,愛酷智能科技分享 MarTech 最新趨勢,也透過成功案例說明企業如何在疫情下逆勢成長,培養忠誠會員,並達到會員導流,帶動營業額提升。

未來,愛酷智能科技將持續舉辦 MarTech Salon 系列活動,協助企業掌握 AI 與 MarTech 最新趨勢與應用。歡迎追蹤以下渠道,掌握最新資訊:

本文章內容由「愛酷智能科技」提供,經關鍵評論網媒體集團廣編企劃編審。