面對資料外洩

知名主機代管廠商戰國策在本周發生重大的個資外洩事件，數千筆客戶資訊被搜尋引擎逐一存檔。只要透過Google搜尋引擎以特定字串搜尋，就可以找到4千多筆客戶訂單資料，舉凡公司名稱、統一編號、客戶姓名、身分證字號、行動電話、電子郵件、代管主機的IP位址、網域名稱、帳號與密碼等資訊，可謂一覽無遺。

戰國策在1月9日發現這個問題，立即尋求搜尋引擎廠商協助，先清除搜尋引擎的網頁快取資料。經過了一個周末，1月12日，雖然我們在Google等知名搜尋引擎上已經找不到這些網頁存檔，但是，仍可在中國的搜尋引擎上找到這些個資。當時我們聯繫上戰國策，他們證實確有此事，並且已尋求Google協助清除網頁快取，但對於事發原因則表示仍在調查中，無法告知。同時，我們發現戰國策的客戶對此並不知情，顯然戰國策尚未通知全部的客戶。然而，在個人身分證、行動電話、帳號密碼等資訊都外洩的情況下，若客戶不能立即採取因應措施，那麼事態將會更加嚴重，因而我們決定在1月12日就先在網站上發布報導，呼籲戰國策的客戶及早更換帳號密碼。

隔天，1月13日，在網路上仍可以查到這4千多筆個資，因而我們繼續追蹤這個事件的發展。經過採訪幾位戰國策的客戶，發現他們對於個資外洩的狀況仍不知情，而在我們告知個人資料外洩的狀況後，他們都很難接受個資是如此赤裸裸地被暴露在網路上。當天，我們繼續刊出這個事件的後續報導。

由於戰國策不願告知事發原因，我們只好由掌握的資料來了解可能的原因。一位主機代管業者分析，後檯的客戶資料網頁之所以會被Google搜尋引擎找到，可能有兩方面的問題：一方面就是Google搜尋引擎知道了系統的網址結構，另一方面則是Google搜尋引擎可以存取這些頁面。

Google搜尋引擎可以存取後檯系統的網頁，有可能是後檯的存取驗證出了問題，而原因可能是系統設計有問題，或是曾經變動過系統，而有部分網頁的驗證機制沒有隨之更動。

另一方面，Google搜尋引擎如何知道後檯系統的網址路徑規則？可能的原因是內部員工電腦的瀏覽器安裝了Google的桌面工具，像是Google Toolbar之類的工具，並且曾經同意讓Google分析使用者的瀏覽行為，因而當這些員工以這樣的電腦在後檯系統作業時，Google也就掌握了相關的網頁路徑資訊。而這一點，是多數人會忽略的，所以，你應該要檢查能夠存取內部系統的員工電腦，是否安裝了這類工具軟體，因為這種情況相當普遍，有可能是員工自己安裝的，或是電腦隨機出貨就裝好，甚至是電腦被暗中安裝了間諜軟體。

事發至今，截至1月14日，戰國策的網站上仍未見任何關於此事件的說明，這實在是令人訝異。雖然每一家公司都不願家醜外揚，但這關係到4千多家公司、4千多個人的資料隱私問題，在這段期間，有心人士有充分時間可以把這4千多頁網頁資料存檔下來，一旦落入詐騙集團手裏，後果不堪設想。

在2007年底，PayEasy網站曾發生中國駭客竊取用戶帳號密碼的事件，過程中，駭客發動大量電腦，以字典攻擊法猜測用戶密碼，企圖進一步取得個人資料，當時，PayEasy決定在第一時間主動告知用戶，並透過網站首頁與媒體發佈訊息，呼籲用戶立即更換密碼，此舉確實讓不法人士無法得逞，而這就是戰國策現在應該要做的。