【硬塞專家開評】Clubhouse 130 萬用戶個資,是「公開資訊」還是「外洩資料」?

回顧整起事件,的確資料本身是公開的,但讓人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正。
評論
Photo Credit: Shutterstock / 達志影像
評論

本篇作者「白帽觀點」致力於將資安技術以深入淺出的方式說明,不管是在開發上、公司政策上,讓大家用各種方面的白帽駭客視角去思考科技。使自己更能掌握資安思維,並且讓產品與企業更安全。本篇內容為 INSIDE 邀請「白帽觀點」評論。

【硬塞專家顧問募集中】硬塞將持續關注網路科技趨勢議題、深度專題,邀請您提供觀點評論,持續透過文字傳遞觀點,激起更多火花並帶來影響力。歡迎來信與我們聯絡:[email protected]

最近 Clubhouse 有一起「資料外洩」的資安事件,即有 130 萬筆用戶資料在駭客論壇上流通。而這起事件中最讓人議論紛紛的地方,在於官方並不認為這是屬於「資料外洩」的資安事件

推薦閱讀:130 萬用戶資料外流駭客論壇,Clubhouse 駁斥:是 API 公開內容

Clubhouse 130 萬用戶個資「被公開」,算不算「資料外洩」?是否存在資安問題?這要讓我們先從「資料分類」開始講起。

資料分類(Data Classification)

在做資安時大家都有一個觀念:任何一個資安防禦策略都是一項成本,無論是時間上或是金錢上。在資源有限的狀態下,我們無法把每筆資料都視為「相當重要」 ,並且無上限地花費預算保護它們。

所以在做資安風險管理時,我們可以適度將資料分成不同等級,依照每個等級的優先權、機密程度,來給予適當的保護措施。

在業界常見資料分類的類別,大致可以分成四種:

  • 公開(Public):任何開放無敏感的資料,像是每個企業的登陸頁(Landing page)、公開形象網站、公開資訊介紹等等。
  • 內部(Internal):只在公司內部使用的資料。若該資料外洩僅會對業務產生輕微影響。常見項目像是公司內部政策、內網資訊、軟體系統資訊等等會被分類在此。
  • 機密(Confidential):只授權特定部門使用的資料。一但外洩將會對企業造成商業損害。如定價、行銷資料、加密金鑰等等。
  • 限制(Restricted):高度敏感的資料,根據「僅知原則(Need to Know Basis)」,僅在「必須知道時」才授與存取權限。如用戶的個人可識別資訊(PII,Personally identifiable information)、信用卡號等,一但外洩將會造成企業財務上、法律上等損害。
Photo Credit: 白帽觀點

我們可以依照這四個分類,定義出 0 - 3 的嚴重等級,0 為公開(Public)、3 為機密(Confidential)。並且根據該等級、現有資源、風險等評估,做出符合該等級的保護措施。

屬於哪個資料類別?

回到新聞內容,Clubhouse 這起事件中這些「被公開」的資料,原本應該被歸類在什麼類別?我們可以從 Cybernews 新聞中看到:

What was leaked?
The leaked database contains a variety of user-related information from Clubhouse profiles, including:
User ID
Name
Photo URL
Username
Twitter handle
Instagram handle
Number of followers
Number of people followed by the user
Account creation date
Invited by user profile name

可以發現被公開的資料中,基本上都是 Clubhouse 使用者的公開資訊,也就是說一般使用者只要使用了 Clubhouse,自然就會將這些資料公開

對於本身「已經公開」的資料,會有「外洩」的可能嗎?答案也許可以從 Clubhouse 在 Twitter 上官方的說明得知:

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API.

Clubhouse 聲明這並未遭駭且並非資料外洩,這些資料皆屬「公開個人資訊(public profile information)」,任何人都可以藉由 App 或 Clubhouse API 來獲得

既然是公開資料,是不需要被保護的,為什麼仍有許多人表示對 Clubhouse 的處理方式感到不滿?也許資安問題並不是出在資料,而是「獲取資料的方式」。

資料沒問題,但行為不允許

在上述官方聲明中,使用者「存取 API」這個動作是允許的。但使用機器人、網頁抓取等「API 濫用(API Abuse)」的動作並不被允許

在 Clubhouse Terms of Service 中有提到:

Intellectual Property Rights
Service Content, Software and Trademarks: … In connection with your use of the Service you will not engage in or use any data mining, robots, scraping or similar data gathering or extraction methods. …

服務條款中其實有聲明使用者不能以機器人、網頁抓取等方式獲取相關資料。

而這次事件,若要獲得大量 130 萬筆用戶資料,則依賴機器人、網頁抓取等「類似的資料獲取方法(similar data gathering or extraction methods)」可能性會非常高。也就是駭客論壇上流通的資料,極高機率是用不適當的手段獲取的,儘管資料本身並不敏感。

回顧整起事件,的確資料本身是公開的、是不需要特別保護的,但讓一些人感到不滿的地方,也許是 Clubhouse 並沒有採取防禦策略、沒有對「API 濫用」進行預防和修正

怎麼防止 API 遭到濫用?

「API 濫用」這樣的問題其實在業界很容易被忽視,而一但發生濫用時很容易損害到用戶的權益。常見的原因是對於 API 的授權過度寬鬆、未限制存取頻率、未主動偵測濫用行為等等所造成。

防止濫用的方法,除了條款上,我們明確制止這樣的行為之外,其實可以從技術面強化和改善 API,降低 API 被濫用的可能性:

  • 請求次數限制(Rate Limit):正常使用者不可能會高頻率地發送 API 請求,可以藉由設定 API 請求次數、頻率限制來防止程式自動化地資料抓取。
  • API 授權:將 API 設計成需驗證和授權才可使用,使用者需在登入後先取得系統發放的 API Token,才可用來請求 API、獲得服務資訊。並且預設不授權使用者過多的 API 權限,可將更多進階 API 功能設定為驗證後開通。
  • 日誌與偵測:系統其實可以從第二點的 API Token 得知使用者使用 API 的情況,可藉由「去除敏感資料後的 API 請求紀錄」,來偵測是否有高頻率、異常請求、濫用等狀況,並且進行後續反應策略。

上述這三種方法是常見抵禦 API 濫用的策略,可藉由較少的成本來獲得防禦效果。更完整的技術防禦與檢驗,可以參考 OWASP Testing Guide 以及 OWASP ASVS 定義的標準來執行。

借鏡

此事事件在評估後,或許僅能稱上是低度風險,讓 Clubhouse 官方僅以 Twitter 發文形式解釋。但畢竟處理資安風險除了技術面之外,後續的公關處理也是一個挑戰。

也許對那些不滿的民眾來說,不管是什麼等級的資安事件,還是會希望官方能以一個「積極保護用戶的態度」來面對。如果在事發時,對用戶發出警告通知、公布採取的防禦策略、事件後續追蹤與報表等,也許都是能讓使用者更放心且信賴的方式。

資安防禦難度很高,要即時反應資安事件也很不容易。這類資料外洩的新聞,希望能警惕我們若是遭遇高風險資安威脅,能更積極面對用戶、並且主動採取防禦策略。

責任編輯:MindyLi
核稿編輯:Mia

延伸閱讀:



不只是把交易搬到網路上!數位轉型3模式協助品牌再升級

數位轉型並不只是將實體商家搬到線上,要將數位的概念貫穿策略、組織、技術、文化等面向,才算是真正搭上數位轉型的列車。
評論
評論

2020 年世界各國因為疫情的蔓延,讓許多企業都開始正視數位轉型的議題,然而台灣到了 2021 年才開始爆發大規模的疫情,也讓很多產業意識到數位轉型的重要性。新冠肺炎疫情帶來許多衝擊,居家辦公、遠端教學、餐廳禁止內用、市場分流等措施,也造成了生活模式及消費習慣的改變,對企業與商家而言,數位轉型成為迫切需求。以餐飲業而言,研究機構 IDC 指出,由於疫情影響,原先需要 2 年以上的數位轉型工作將壓縮到 2 個月以內完成,而另根據《數位時代》的調查,台灣已經有 85.7% 的組織及企業已展開數位轉型。新興的年輕消費族群身為數位原生代,對於數位科技更是運用自如,企業如何運用數位科技及數據幫助企業更精準接觸 TA、並營造更個人化的消費體驗,才是關鍵。

數位轉型並不只是將實體商家搬到線上,要將數位的概念貫穿策略、組織、技術、文化等面向,才算是真正搭上數位轉型的列車。針對數位轉型,全球企業巨擘 Google提出「數位獲客」、「數位科技」、「數位文化」轉型三支箭,指出企業應從線上觀察消費者的行為模式以理解消費者,進而調整數位策略,配合其行為進行個人化行銷或掌握流量,轉為實際業績;在數位獲客以前必須善用數位科技,利用雲端科技打造互相連結的平台;而營造合適的組織文化,培養更多數位人才,更是數位轉型後企業能夠永續經營的重要關鍵。

許多品牌也以此為基礎延伸數位轉型的概念,三模式Plus促進再產業升級:

數位X異業結盟 增加獲客

利用數據進行個人化行銷已是行之有年的數位轉型策略之一,數位廣告及行銷界也長期依賴第三方 cookie 精準追蹤用戶行為進行個人化行銷。在此基礎之上,也有許多品牌進一步融合數位及異業結盟,增加獲客數。如玉山銀行,過去銀行業的獲客模式主要為信用卡優惠,現在則把金融服務融入數位場景中,利用數位化銀行串聯多平台線上支付,擴大異業合作,也增加獲客數。旅遊平台 KKday 在疫情期間受到莫大衝擊,推出旅遊業雲端 SaaS 服務 「Rezio 預定系統」及「KKday 同業分銷平台」,整合旅遊業商品、訂單、金流等面向,攜手合作夥伴一起進行數位轉型,互相增加獲客數。

本土電商龍頭 PChome 24h購物也觀察消費者的消費模式,將數位服務融入異業串聯,如觀察到現代上班族的寄杯文化,因此與新型態咖啡寄杯 APP:CAFFÈCOIN 職人咖啡通行合作,集結全國 1000 家職人咖啡館,於線上儲值,跨店皆能兌換,輸入折扣碼送咖啡兌換金 ;或是看準永續消費的概念與永續時尚品牌 FYNE 合作,輸入折扣碼可享滿額折抵,且參加 FYNE 舉辦的舊衣回收傻瓜計劃,於活動期間透過 FYNE 官網申請不限品牌,舊衣回收可獲得紅利,紅利還可於 FYNE 官網消費折抵。

PChome 24h購物與新型態咖啡寄杯聯盟 CAFFÈCOIN 職人咖啡通行合作。

數位融入生活場景 

而品牌推出的服務要被應用才能增加獲利,品牌藉由數位技術融入生活場景,讓消費者更加離不開品牌服務。如 APPLE 開創的 Face ID,藉由擴大與 APP 通路合作,下載、入口網站、繳費解鎖都要靠 Face ID,也成功增加消費者對品牌商品的依賴度。看準現代人離不開網路地圖的服務,Inline 結合 Google Map 地圖定位服務,讓消費者使用 Google Map 搜尋餐廳或商家後,能直接在地圖下方的「訂位」鍵完成訂位服務,深入消費者生活場景,提升依賴及使用度。而 PChome 24h購物的金流服務 P 幣支付也不斷致力於融入消費者的生活場景,使用範圍從超商、水電費、停車場、買咖啡服務等層面融入消費者的生活,形成 PChome 的金流生態圈,其也支援最完善的行動支付服務,將數位工具完整融入生活場境,滿足消費者體驗。

數位科技擴大應用

隨著科技的推陳出新,行銷手法也不斷變化,尤其在 COVID-19 肆虐之下,新興的行銷 5.0 也應運而生,行銷 5.0 主要在於使用科技提升消費者體驗,如鼎泰豐早在 2016 年就陸續引進 Pepper 機器人及自助點餐機來減少消費者排隊等待的時間,提升顧客體驗,近來更結合物聯網技術,監測店內食品保持品質一致,是行銷 5.0 應用的先驅;IKEA 利用 AR 讓消費者可以將販售的家具擺放在現實生活空間,檢視產品是否符合自家風格。

鼎泰豐早已引進 Pepper 機器人協助候位、點餐系統,減少大量等待時間,優化消費者體驗。
IKEA 發布 APP「IKEA Place」讓消費者可以藉由 AR 技術,檢視產品放置在家中的感覺。圖片來源:IKEA Youtube

除了上述三模式,在企業及商家中樹立良好的數位文化更是能讓組織成為活水,在時代趨勢中不被淘汰。樹立良好的數位文化不外乎就是要培養許多數位人才,尤其是生長在數位原生代的 Z 世代們,從小浸淫在數位時代帶來的資訊爆炸環境,求知慾、學習力旺盛,應變能力強,對於科技運用能力更是嫻熟,

且多半不滿足於單一能力的培養,紛紛具有多元能力而成為斜槓族;除了技術性的能力之外,在軟實力上也不落人後,Z 世代勇於表達自我,也積極在社群媒體上求表現,甚至被稱為「孔雀世代」,同時也善於營造生活氛圍,重視工作與生活的平衡,貼近現代消費者的需求。

PChome 24h購物開辦電商線上課程,強化電商人才培育。

許多企業注意到 Z 世代的人才特質,開始運用在企業經營上,尤其在以數位為根基的電商產業,如 PChome 24h購物看到了 Z 世代人才的特質優勢,但苦於台灣並無系統性的電商培育資源,因此開辦電商線上課程,教授創意檔期策略、異業合作、社群入門及行銷提案等電商產業知識,培育人才回饋產業界。人才培育是數位轉型文化能夠保持滾動的重要因素,品牌應善加運用 Z 世代數位人才的特質,創造雙贏。

本文章內容由「戰國策傳播集團」提供,經關鍵評論網媒體集團廣編企劃編審。