以資料拼圖方式蒐集個人資料的手法,已經成為網路犯罪趨勢。警政署甚至發現有犯罪集團將拼湊來的個人資料蒐集起來,建置
「個資自助查詢資料庫」。
所謂資料拼圖就是將不同管道中所得的資料系統性拼湊起來,以取得完整個人資料。例如在BBS上取得姓名、手機,在拍賣網站上取得電子郵件、姓名,以此類推,將各處資訊整合起來。
警政署資訊室主任李相臣今天(4/18)在亞太資安論壇研討會中指出,甚至有犯罪集團將蒐集得來的資料利用資料庫集中整理,進行查詢,方便做系統性的個資整合。
他也進一步指出:「電子商務業者要對平台安全加強把關。」個資外洩的管道主要有三種,除了使用者自己要小心避免的網頁掛馬(iframe)、社交工程郵件之外,最能即時取得大量使用者資料的方式,就是直接入侵網路業者資料庫。
一但業者平台遭駭客入侵,就會造成大量個資外洩,影響力遠非其他管道可及。尤其去年底頻傳類似案件,如誠品網路書店、金石堂網路書店等等。
李相臣指出,電子商務業者的平台開發時間通常較短,加上開發時以功能為主要導向,對於網路應用安全並未特別把關,加上出事後只見業者低調處理,否認有個資外洩情形。只要業者無心改善,資料外洩情形就會持續發生,因此他呼籲使用者必須「挑戰」網路業者,督促企業做好安全措施。
他透露,警政署私下都有和網站業者接觸,希望加強平台安全。不過至今只有Yahoo!奇摩給予較善意回應,例如推出安全圖章機制、帳號隱藏功能等等。其他業者卻都低調處理,政府也無計可施。現在只期盼立法院能盡速通過個人資料保護法修正案,將網路業者也納入強制管理。
網路犯罪集團化
從警政署發現駭客建立個資查詢資料庫的情形來看,網路犯罪已經專業化、組織化。
事實上安全廠商McAfee去年底發表的2008十大安全預測報告已指出,駭客的集團化、體制化成為潮流,並透過專業與組織犯罪,危害使用者安全。賽門鐵克上週(4/10)發表的第13期全球網路安全威脅研究報告也指出,網路犯罪已成為地下經濟,甚至雇用學有專精程式設計人員大量製造威脅,並制定出惡意程式價目表等等。
對於國內的個資外洩現況,賽門鐵克資深技術顧問莊添發則說,雖然沒有發現所謂個資資料庫的情形,不過這的確是網路犯罪可能走向的趨勢。網路犯罪已由以往的業餘玩家演變成集團行為。
McAfee技術經理沈志明則表示,網路犯罪已經商業化,駭客甚至會在拍賣網站上販賣弱點,因此以資料庫的方式蒐集個資,不足為奇。
From:
http://www.ithome.com.tw/itadm/article.php?c=48572