用戶個資
」 個資 詐騙 TikTok 駭客 用戶
小紅書涉詐台人財損逾2億 平台無改進回應!內政部:將封鎖一年
內政部次長馬士元今天(4日)至刑事局召開記者會,發布即日起對「小紅書」APP進行網際網路停止解析及限制接取措施,暫定期間一年。馬士元表示,「小紅書」APP在台用戶已逾300萬人,經國家安全局進行資安檢測,發現15項指標全數未合格。且該APP自民國113年迄今已涉入1706件詐騙案件,造成財損達2億4768萬餘元,又因無法依法調取必要資料,執法機關偵辦面臨重大困難,形成實質法律真空。內政部依《詐欺犯罪危害防制條例》第42條「詐欺犯罪防制緊急事件」規定,對「小紅書」APP發布網際網路停止解析及限制接取的命令,暫定期間一年,後續將視該公司是否善意回應、主動配合我國相關法規,並確保國人數位安全,再研議後續處置。民眾關心以後是否無法再瀏覽「小紅書」?資安人員表示,「小紅書」APP的內容都存放於伺服器主機,網際網路停止解析可將這些網頁遮蔽,民眾點進去就看不到內容,但如果「小紅書」分散伺服器,或不斷更換主機位置,沒有被查到停止解析,還是有可能看到,而限制接取則是限流讓觀看速度變慢,內政部要封「小紅書」,成效仍待觀察。行政院打擊詐欺指揮中心副執行秘書賴正庸(右),說明對「小紅書」的管制措施。(圖/報系資料照)內政部表示,「小紅書」在台使用量於一年內急速擴增上百萬用戶,恐成為網購詐騙高風險場域,但因無法管轄,被害人求償無門。為保障台灣用戶個資安全,今年10月14日透過海基會函請小紅書母公司中國行吟信息科技(上海)有限公司依法提出具體改善作為,但迄今業者無任何回應。馬士元指出,中國曾對「小紅書」APP進行開罰,美國德州則直接禁用,且小紅書迴避中華民國法律管轄,對台灣用戶及於該平台開店的商家而言,無異陷入嚴重的網路購物詐騙風險,情節重大。內政部指出,自今年1至11月各部會依詐防條例通報涉詐網站停止解析計有4萬5094組,這次對小紅書停止解析、限制接取並非首例。內政部強調,凡在我國境內提供服務的網路社交平台或APP,均須接受本地法律管轄,包括 Meta(Facebook)、Google、LINE、TikTok 等主要國際平台,均已依我國規範設置法律代表人並恪遵法律義務。行政院打擊詐欺指揮中心副執行秘書賴正庸表示,要求「小紅書」改善的項目包括,需設置法律代表人,平台販售商品需商業登記及稅籍登記等,符合國內法規,政府會持續要求國內外網路平台及APP業者強化法遵措施。
國安局15項資安檢測未合格! 內政部宣布封鎖小紅書一年
刑事局4日下午指出,「小紅書」APP在台用戶已逾300萬人,該APP經國家安全局進行資安檢測,15項指標全數未合格,且該APP自2024年至今已涉入1706件詐騙案件,造成財損達2億4768萬餘元,又因無法依法調取必要資料,執法機關偵辦面臨重大困難,形成實質法律真空,加上近期該平台在台使用量於一年內急速擴增上百萬用戶,又因無法管轄,該APP恐成網購詐騙高風險場域,讓被害人求償無門。對此,內政部4日宣布將依《詐欺犯罪危害防制條例》第42條「詐欺犯罪防制緊急事件」規定,將對「小紅書」APP發布網際網路停止解析及限制接取之命令,暫定期間一年;後續將視該公司是否善意回應、主動配合我國相關法規並確保國人數位安全,再研議後續處置。內政部指出,為保障台灣用戶個資安全,內政部今年10月14日透過海基會函請小紅書母公司中國行吟信息科技(上海)有限公司依法提出具體改善作為,但迄今業者無任何回應。而過去,中國曾對「小紅書」APP進行開罰,美國德州則直接禁用,且小紅書迴避中華民國法律管轄,對台灣用戶及於該平台開店的商家而言,無異陷入嚴重的網路購物詐騙風險,情節重大。小紅書上假網拍截圖。(圖/翻攝畫面)行政院打其詐欺指揮中心指揮官馬士元出席時也表示,小紅書經國安局檢測15系全數不合格,有過度要求權限、蒐集個資(如通訊錄、信用卡號、生物特徵等)、逕自上傳非必要個資等問題,一旦民眾同意授權就可能導致個資外洩,因此遭到盜刷,或因使用習慣與愛好遭到詐團利用。馬士元指出,小紅書不但不配合我國法令規範與要求,還有治安、資安危害等問題,在國外也因違法廣告、危安內容遭中國大陸多次裁罰,並因資安滲透一律遭美國德州政府禁用,顯示小紅書本身就對社會或資通安全有相當危害。小紅書上假帳號交友轉投資。(圖/翻攝畫面)內政部指出,政府機關持續把關涉詐危安,自今年1至11月各部會依詐防條例通報涉詐網站停止解析計有45094組,本次對小紅書停止解析、限制接取並非首例。內政部強調,凡在我國境內提供服務之網路社交平台或APP,均須接受本地法律管轄,如包括 Meta(Facebook)、Google、LINE、TikTok 等主要國際平台,均已依我國規範設置法律代表人並恪遵法律義務,展現與政府共同打擊詐欺的不變立場;故其餘在台營運的平台亦有責任主動配合,不能自外於我國法制之外。內政部強調,本次對小紅書停止解析、限制接取並非首例,而是政府機關持續把關涉詐危安的一環。統計今年1至11月各部會依詐防條例通報涉詐網站停止解析計有4萬5,094組;在中華民國境內,無論網路社交平臺或APP,都必須接受本地法律管轄,包括Facebook、Google、LINE、TikTok等國際平臺,均已配合我國法令設立法律代表人並恪遵法律義務、展現配合政府打擊詐欺的立場。小紅書上假投資廣告。(圖/翻攝畫面)內政部呼籲,包括Google等國際平台,應善盡企業社會責任,全面停止刊登小紅書廣告;同時提醒國人切勿下載該軟體,如已下載亦請停止使用,改以其他符合資訊安全標準之合法平台為佳。未來,政府將持續要求國內外網路平台及APP業者強化法遵措施,具體改善服務品質,以共同保障國人權益與使用安全。不過有資安人士就指出,針對禁用小紅書一事相對難以阻擋,除非民眾使用台灣公用DNS服務(如中華電信),才會被那管,若使用VPN或國外DNS server基本上應該擋不住。
批YouBike意外理賠範圍太窄 許淑華盯北市府再檢視契約與用戶個資去向
台北市議員許淑華今(19)日表示,從2023至2025年第三季近3年中,台北市民眾通報微笑單車(YouBike)事故案件數高達1,722件,結果總共只理賠387件,等於理賠率22.5%;此外,個資利用也沒有完整有效的管理,會不會「洩個資」黑歷史重演也令人擔憂,該是時候再檢視保險契約、理賠審核門檻與個資處理問題了。台北市議員許淑華(圖)認為YouBike微笑單車的理賠與用戶個資保護問題有進一步檢視之必要。(圖/CTWant攝影組)YouBike政策濫觴自2009年台北市前市長郝龍斌市府,那時第一期以BOT(興建-經營-轉移)模式委託巨大機械(捷安特)建置營運轉乘優惠,至2018年4月時任市長柯文哲進一步推出捷運或公車轉乘YouBike享前30分鐘費率免費的優惠,更刺激了使用量增長。而第二期「YouBike2.0」2020年初上路至今,因為「無電輕樁」讓設站更簡便,也因此特性快速擴張,2022年在台北市境內就突破千處借還車點,到今年8月光台北市境內就累計1、2期突破4億歷史騎乘人次,如今再搭配今年夏天恢復的30分鐘內借還車免扣款服務,YouBike使用量持續居高不下,顯見已深度融入臺北市民的日常生活,成為不可或缺的「綠色交通工具」。於此同時,YouBike能否在便利之餘,提供使用者安全保障是各界關注焦點。許淑華調閱資料指出,若切成單一年度統計,2023年北市YouBike事故有513件,2024年則提高至728件,年度增加約42%千萬不可等閒視之。而進一步從2023年頭到今年第三季小計高達1,722件通報事故中,目前只理賠387件事故,等於理賠率僅22.5%,究竟是理賠門檻或合約問題,確實該檢討。許淑華揭露,其實YouBike光2024年營運收入就高達新台幣7.5億元,但卻僅撥付987萬元投保「公共自行車傷害險」,不只完全不成比例,且理賠範圍限縮在使用者住院、失能、死亡等三種情況,如此遺憾才能理賠最高100萬元。她直指,近年持續有民眾來投訴騎個YouBike「牙齒、骨頭斷了也求助無門」,自己老早就對台北市府提出質疑,結果市府只是做做樣子將保險名稱微幅調整,細看理賠範圍其實沒改變,市府還搬出「現在大家都有全民健保」當說帖,完全沒有要增加理賠範圍的意思,「那保公共傷害險幹嘛」她嘆氣保了個寂寞。值得一提的是,許淑華也示警,台北市政府用「勞務委外」方式簽訂契約,把430萬市民用戶註冊YouBike個資「外包」給私人廠商管理,簡直把隱私權當兒戲。她強調自己不是危言聳聽,因為2023年就曾爆發4萬多名會員的帳號、手機號碼、交易資料等個人資訊遭竊取,結果廠商只發500元禮券「摸頭」用戶要息事寧人,前車之鑑歷歷在目。許淑華怒批,過去自己質詢關心YouBike個資處理狀況時,反倒被市府說廠商依照《個人資料保護法》不便提供契約內容,因此是否發生個資被撈去大數據分析、賣廣告或濫用,市府都管不了,也「護航」廠商不讓議會盯,實在令人放不了心。她要求,市政府法務局、資訊局必須協助交通局,在2個月內與廠商研議修訂契約內容,將YouBike會員個資移轉由市府管理,另若有營運需求則以申請、開放權限方式供業者使用。此外,交通局須於1個月內研議提高公共自行車傷害險保額,還要增加保險理賠範圍,用戶安全不能再蹉跎。YouBike使用廣泛,藝人鍾瑶(左)跟型男攝影師Kair約會時也善用YouBike移動。(圖/CTWant攝影組)台北市議員黃瀞瑩的先生劉家耀(圖中背影)也常利用YouBike通勤與練體力。(圖/CTWant攝影組)YouBike如今在台北市已是重要的交通工具,資深藝人陳昇(圖)也是YouBike使用愛好者。(圖/CTWant攝影組)
Discord爆用戶個資大量外洩! 官方證實:駭客竊取身分證、地址
全球擁有超過2億活躍用戶的即時通訊平台Discord日前證實,遭遇嚴重資安事件,導致約7萬名用戶的政府核發身分證明文件(如護照、駕照)照片遭到外洩,部分用戶的姓名、電子信箱、IP位址與交易紀錄等敏感資料也可能遭到駭客存取。綜合外媒報導,據Discord發言人說明,此次受影響用戶數約為70,000人,駭客取得的資料類型包括姓名、使用者名稱、電子信箱、IP 位址與部分客訴對話紀錄;而在金流方面,僅涉及信用卡末四碼及付款歷史等「有限的財務資訊」,平台強調用戶密碼及完整的付款資料未遭外洩。Discord 表示,有駭客組織在駭入系統後試圖勒索金錢,並散布誇大的數據(聲稱竊得超過200萬筆資料)以施壓。但平台明確拒絕付款,並指出該數字不實,是駭客試圖操控輿論的一部分。而有一個自稱為「Scattered Lapsus$ Hunters(SLH)」的駭客組織對此事件宣稱負責,並指入侵手法為滲透Discord所採用的客服系統 Zendesk。報導指出,在駭客建立的Telegram頻道中,有用戶已經上傳上百張用戶手持身分證明文件的照片,還包括部分含有姓名、電子郵件、地址資訊與被遮蔽電話號碼的用戶資料庫。不過,媒體尚未獨立驗證這些資料真實性是否與Discord外洩案有關。對此,隱私權倡議團體Electronic Frontier Foundation(電子前線基金會)表示,Discord此案凸顯線上平台年齡驗證制度的資安風險。該組織副主任Maddie Daly指出,「一旦使用者提交身分資料,就無從得知這些資料會如何儲存、處理與分享。只要系統一旦遭駭,風險即難以承受。」事實上,今年稍早女性匿名社群App「Tea」也曾爆出資料外洩事件,約7.2萬張上傳作為性別驗證的用戶照片被駭客盜取,凸顯相關平台在處理個資方面的潛在風險。目前,Discord已主動聯繫所有受影響用戶,並同步通知執法單位,也已立刻撤銷該第三方廠商的系統存取權限,並與數位鑑識公司合作進行全面調查,確保平台未來資安強度。Discord強調,此次事件並非其主系統遭駭,而是駭客入侵其第三方客服廠商系統後,非法取得用戶資料。而這些資料主要來自近期進行年齡驗證或向客服申訴年齡判定結果的用戶,駭客透過攻擊客服系統,取得這些使用者上傳的身分證。對於台灣用戶是否受到影響,Discord尚未提供進一步的地區性統計,但建議曾進行身份驗證的用戶應密切注意個資動態。
LINE Pay也有詐騙! 官方示警「這類郵件」別點:個資、存款全被盜
近年台灣詐騙案件層出不窮,從簡訊、網購到假投資,手法不斷翻新。LINE官方就指出,近期有不法人士盜用LINE Pay的名義,以「重複扣款」或「付款方式異常」為由寄送電子郵件,藉此來獲取用戶個資與存款,提醒民眾切勿點擊來歷不明的連結。據悉,近日有不法人士疑似假冒LINE Pay的名義寄送電子郵件,發送聲稱「LINE Pay交易重複扣款」、「付款方式綁定多個帳戶」的Email,誘導用戶點擊信中附上的連結進行身分驗證,要求輸入手機號碼、帳戶密碼、信用卡卡號及卡片安全碼等資料,試圖藉此竊取用戶個資與存款。LINE官方提醒,鑒於網路詐騙案件頻傳,為維護用戶權益及LINE、LINE Pay等帳戶安全,請勿點擊不明來歷的程式、訊息、Email、簡訊,或您不認識的人提供的連結。LINE官方表示,若收到以LINE Pay名義發出的Email且含有連結網址,請先確認是否有進行該封Email內容中所述的操作,並檢查寄件者的Email網域是否為「@linecorp.com」或「@lycorp.com」,如有疑問請與LINE Pay客服中心聯繫。LINE官方說到,如果已經誤點可疑連結,建議用戶儘速更換LINE、LINE Pay、iPASS MONEY帳戶及其他金融商品(例如:網路銀行)的密碼,並以掃毒軟體掃描手機。LINE官方強調,LINE所有官方帳號,包括「LINE錢包」、「LINE Pay提醒」、「LINE Pay Merchant」等,帳號名稱前方會顯示「綠色盾牌」,且「LINE」為全部大寫英文字母。另外,若傳送訊息到LINE官方帳號,均不會有真人回覆。
遭遇駭客入侵用戶個資外洩 加密貨幣交易所卻「隱匿不報」
加密貨幣交易所Crypto.com近期被曝光曾遭駭客攻擊,導致部分用戶個資外洩,但Crypto.com卻隱匿此事沒有曝光。整起事件發生於2023年3月之前,但當時公司並未公開說明,直到近日才在媒體的報導下才全部曝光。根據《彭博社》指出,這起攻擊涉及一名青少年駭客NoahUrban,他隸屬於網路犯罪組織「ScatteredSpider」,長期專注鎖定電信、科技及加密貨幣產業員工,擅長透過釣魚手法取得帳號密碼。Urban與一名代號「Jack」的同夥合作,成功入侵Crypto.com一名員工的帳號,進一步取得公司內部敏感資訊。業界人士指出,鎖定交易所內部人員已成為常見的駭客手法。例如另一家主要平台Coinbase,就曾因海外客服代表遭收買,導致大量客戶資料外洩,並造成數億美元損失。Crypto.com在這次事件中則聲稱,僅「極少數人的個人資料」受到影響,並未有用戶資金被竊取。這起外洩發生後不久,美國聯邦調查局(FBI)於2023年3月展開突襲,查扣價值400萬美元的加密貨幣,以及數十萬美元現金與珠寶。Urban在2024年1月被正式逮捕,隨後承認參與入侵至少13間公司,被判處10年徒刑。知名區塊鏈調查員ZachXBT在X平台批評Crypto.com的沉默態度,認為該公司「已經多次被駭,但選擇不揭露事件」,質疑其對用戶透明度不足。儘管如此,Crypto.com的市場表現並未立即受影響。根據《TheBlock》數據顯示,該平台在2024年8月的交易量已超越Coinbase,成為交易量最大的美元掛鉤加密貨幣交易所之一。近期,Crypto.com還與川普媒體(TrumpMedia)合作,籌組數位資產庫存公司,專注收購Cronos區塊鏈的原生代幣CRO。
「重口味」成人網站資料外洩恐為騙局 研究團隊拆解駭客手法
一家名為MyHomemadePorn的重口味成人內容平台,近日傳出疑似用戶個資外洩事件。駭客在知名資料外洩論壇張貼貼文,聲稱掌握大量平台用戶資訊,引起外界高度關注。但資安媒體《Cybernews》檢視檔案後,發現真實性存在重大疑點,甚至懷疑整批資料可能是偽造。根據《Cybernews》報導,駭客宣稱掌握的檔案包括使用者名稱、電子郵件以及雜湊密碼,並呼籲他人可利用這些數據進行勒索。由於該論壇以使用者信譽建立信用,而發文者並非新手,過去也曾發佈過外洩資料,因此貼文一度引起廣泛討論。但研究團隊在進一步分析時發現,檔案中竟出現多組相同的bcrypt雜湊值。專家解釋,bcrypt 在加密時會自動加入隨機鹽值,即便密碼相同,生成的雜湊也應該不同。因此出現重複紀錄,顯示這些資料極可能是人為生成,或來自平台的測試環境,而非真實用戶資訊。《Cybernews》指出,攻擊者有時會刻意散布假數據,用來吸引注意、提高論壇聲望,甚至欺騙缺乏經驗的使用者購買過時或無效檔案。但在這起事件中,發文者並未要求金錢回報,更像是單純測試社群反應。若這批資料屬實,外洩範圍將相當敏感,內容不僅包含電子郵件與IP地址,還涉及出生日期等部分個資。研究團隊提醒,一旦落入惡意人士手中,當事人恐怕會面臨騷擾、勒索甚至被人肉搜索。不過,從目前公開的檔案來看,出生日期與 IP 資料比例不高,性別與感情狀態也僅以編號表示,實際意義有限。值得注意的是,雖然攻擊者聲稱數據龐大,但《Cybernews》認為,大部分紀錄缺乏真實性,極可能是隨機生成工具製造出來的。研究人員補充,過去已有駭客利用假外洩事件炒作聲量的前例,因此即便該帳號在論壇上具有一定聲望,仍不能排除只是單純「製造麻煩」。目前,MyHomemadePorn尚未針對事件發表回應。
Gucci受駭!奢侈品牌資料庫遭盜取用戶個資 品牌方:信用卡資料未外洩
法國奢侈品巨頭開雲集團(Kering)證實,旗下品牌包括Gucci、Balenciaga、Alexander McQueen與Yves Saint Laurent在內的客戶資料,近日遭到駭客竊取,外洩規模涉及全球多地消費者。根據《BBC》報導,駭客掌握的資訊包含客戶姓名、電子郵件、電話號碼、家庭住址,以及在各地專賣店的消費總額。事件引發國際關注,因為這些資料涉及的是全球高端消費群體。開雲集團在聲明中指出,今年6月曾發現「一個未經授權的第三方」短暫進入系統並存取部分客戶資料。雖然公司強調信用卡號碼及銀行帳戶等財務資訊未被竊取,並已經通知相關客戶,但對外並未透露受影響人數。報導指出,這起駭客攻擊出自一個名為「ShinyHunters」的組織。該團體聲稱已取得與740萬個電子郵件地址相關的資料,並向媒體公開此事。外界普遍認為,此事件只是奢侈品牌與零售業近年屢遭網攻潮中的最新案例。報導中也提到,今年稍早,瑞士歷峰集團(Richemont)旗下品牌Cartier,以及法國LVMH集團的部分品牌,也先後爆發客戶資料外洩。今年7月,香港私隱專員公署宣布,正調查涉及41.9萬名路易威登(Louis Vuitton)客戶資料外流的案件,突顯整個高端零售業正面臨前所未有的資訊安全挑戰。《路透社》報導指出,這次外洩的敏感資訊,雖然不涉及直接的金融帳號,但對於奢侈品客群來說,消費金額與個人身份資料一旦落入不法分子手中,可能引發針對性詐騙或勒索。開雲集團表示,相關品牌已向監管機關報告事件,並依據各地法律要求通知受影響客戶。目前尚不清楚哪些國家消費者受到波及,集團則對此問題保持沉默。
駭客入侵Google!25億Gmail用戶個資恐外洩 專家教5招自保
國際駭客組織ShinyHunters於今年6月成功入侵Google一個透過Salesforce雲端平台管理的重要資料庫,竊取大量企業與客戶聯絡資料。由於此次資安漏洞可能影響高達25億名Gmail用戶,引發全球關注。目前,Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。根據《每日郵報》報導,駭客疑似透過社交工程手法,誘騙一名Google員工提供登入憑證,從而取得該資料庫的存取權限。雖然Google聲稱目前無證據顯示有用戶密碼外洩,但被竊取的聯絡資訊已被用於電話詐騙與釣魚攻擊,受害者可能因此帳戶遭盜用,甚至個資外洩。資安專家奈特(James Knight)指出,駭客已開始透過冒充Google員工的方式進行詐騙,使用650區碼撥打假電話,甚至傳送簡訊引導用戶重設密碼、提供驗證碼。他強調,「如果收到來自 Google 的語音或文字訊息,十之八九是假的,千萬不要輕信。」奈特也指出,駭客還利用盜得的Gmail名單進行暴力破解攻擊,嘗試輸入常見密碼如「password」登入帳戶。專家呼籲Gmail用戶立即採取以下資安措施:1、啟用雙重驗證(MFA):提升登入安全性。2、更換強密碼:避免使用簡單、重複或被外洩過的密碼。3、使用密碼金鑰(Passkey):提升身份驗證層級。4、進行 Google 帳戶安全檢查:檢視潛在風險與異常登入紀錄。5、保持警覺:勿隨意提供驗證碼,不要輕信任何「來自Google」的來電或訊息。此外,駭客此次還利用「懸空桶(Dangling Bucket)」攻擊法,從過時或未封鎖的Google Cloud存取點切入,植入惡意程式或竊取更多資料。目前Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。發言人Mark Karayan拒絕進一步回應。奈特提到,雖然Google長年投資資安系統,並曾收購資安公司,但此次 Salesforce資料庫的漏洞仍令人震驚,「這些 email 資料對駭客而言如同金礦,他們可能已藉此獲得龐大利益。」他提醒所有網路用戶,「駭客會不斷透過大量測試與釣魚手段,試圖入侵帳戶。保持高度警覺,是防範詐騙的第一步。」
交友App淪資安破口! 美國論壇瘋傳匿名女用戶個資「7.2萬張圖外洩」
美國女性交友應用程式「Tea」爆發大規模資安事件,資料庫遭駭,導致72,000張圖片外洩,引發外界對使用者隱私的高度關注。這款主打女性匿名分享男性約會經驗的App,在短時間內吸引大量使用者,但其資安防護卻被揭露存在重大漏洞。Tea公司表示,此次受影響的資料包括13,000張帳號驗證用的自拍與身分證照片,以及59,000張來自貼文、留言與私人訊息的圖片。公司指出,僅2024年2月以前註冊的使用者受到波及。根據《路透社》報導,Tea於26日證實這起資安事件,並說明已發現系統遭未經授權存取,公司隨即啟動內部調查,並聘請第三方資安專家進行修復作業。Tea強調,目前並無任何電子郵件或電話號碼外洩的證據,並保證未來將採取所有必要措施防止進一步洩漏。公司也表示,這些圖片原本是因應執法機關關於網路霸凌防制的要求而保存,並非任意儲存。這起事件最早由科技新聞媒體《404 Media》在26日曝光,揭露Tea開發人員的一個Firebase資料庫未加密保護,導致數萬張女性自拍與身分證照片曝光,並被網友在4chan論壇上流傳。根據該媒體取得的截圖與程式碼資料,一些4chan使用者更撰寫自動化腳本,下載並分享數千張女性的個人照片與個資,有使用者聲稱這些照片未經遮蔽、尺寸與命名格式一致,與外洩的儲存桶內容相符。《404 Media》實際下載了Tea的Android版本並反編譯其程式碼,驗證4chan所揭露的儲存桶URL確實屬於Tea。在4chan上,原始揭露此事件的討論串雖已被刪除,但仍可透過其他存檔版本與延伸討論追溯內容,其中一則貼文直言:「Tea App讓你的臉和駕照被公開,不設任何驗證,任何人都能瀏覽。」Tea成立於2023年,目前已累積超過160萬名註冊使用者,本週更登上美國Apple App Store排行榜第一名。平台鼓勵女性上傳自拍照進行性別驗證,通過後即可匿名分享與特定男性的互動經歷,功能設計類似於「Yelp式的交友資訊交換」。App在使用者建立帳號時,會要求上傳自拍、所在地、出生日期與身分證照片,用於審查與安全認證。
iPhone用戶注意了 不法份子假冒UPS發送簡訊「目標竊取用戶個資」
近期一種假冒「UPS」的詐騙簡訊在美國大規模流傳,不法份子專門針對iPhone用戶下手,企圖竊取個資。這些訊息乍看之下語句通順、內容逼真,聲稱使用者有包裹投遞失敗,若不立即點選連結重新安排,包裹將退回寄件人。但這些簡訊其實來自犯罪集團,並未提供任何實際包裹編號,而是一種廣泛散佈的釣魚詐騙,目的是誘騙正在等包裹的民眾點擊偽造連結或回覆簡訊。根據《apple insider》報導指出,這類詐騙訊息通常附上一個看似正常的網址連結,但其實是導向假UPS網站。例如最近一封簡訊內的網址為「serveye.co.us」,與真正的UPS官網UPS.com毫無關聯。這些假網站會誘使用戶輸入個人資料,有時甚至要求複製連結貼到Safari瀏覽器中開啟。某些詐騙簡訊還會要求用戶先回覆字母「Y」,藉此讓iPhone視為「已知聯絡人」,從而解鎖簡訊內的連結,使詐騙過程更加順利。根據目前掌握的資訊,這類訊息多來自廉價的大宗簡訊平台,背後常涉及海外組織,包括中國的犯罪集團。透過大量收購的手機號碼,他們以極低成本大量散播詐騙訊息。即使只有少部分受害者上鉤,對詐騙者來說仍具有極高的報酬率。Apple雖已針對這類詐騙作出防範,例如阻擋未知聯絡人簡訊內的點擊連結,並在iOS 26系統中強化垃圾訊息過濾功能,設立獨立資料夾來區分雙重驗證與可疑訊息,但詐騙手法仍在演變。詐騙者現在會教導用戶如何繞過限制,例如回覆簡訊或手動開啟連結,使得這些保護措施失效。Apple在iOS 26中,除了「液態玻璃」(Liquid Glass)為視覺設計亮點外,系統也導入了多項反詐騙新功能。像是訊息App的垃圾訊息資料夾,電話App也新增了接聽未知來電前的語音篩選功能,要求對方先說明來電原因,供使用者判斷是否接聽。而語音信箱目前則無自動封鎖機制,但當使用者收到可疑留言時,系統會提供「回報垃圾訊息」按鈕,可選擇刪除或保留留言,同時將其送交Apple審查。
台新銀催收信函、信用卡帳單爆疏失「個資外洩4年」 金管會重罰600萬
金融監督管理委員會今(8)日正式公告,針對台新國際商業銀行(下稱台新銀行)催收信函和信用卡帳單錯寄,導致大量用戶個資外洩,情節嚴重,依法重罰600萬元。最離譜的是,台新銀行相關缺失持續4年之久都未察覺,金管會痛批該行內控系統形同虛設。金管會表示,台新銀行自109年至今,系統與調整過程中,催收信函地址未同步更新,累積有1089人受影響,恐怕已將用戶個人資料寄錯對象。另外,113年11月台新銀行委外資訊廠商列印信用卡帳單,機台感測器故障導致正反兩面屬於不同用戶,有358名持卡人資料錯置,用戶個資全被看光。金管會也說明,台新銀行對內未確實執行測試及驗收之作業規範,對外亦未有效督導受委託機構建立完善之內部控制制度,核有未完善建立及未確實內部控制及作業制度之情事,因此違反銀行法第45條之1第1項、第3項及其分別授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條第1項、第8條第1項及「金融機構作業委託他人處理內部作業制度及程序辦法第6條第1項規定,爰金管會依銀行法第129條第7款規定,故核處新臺幣600萬元罰鍰。最後金管會對台新銀行提出多項要求,須強化委外廠商管理與資訊人員稽核能力,應將歷年資安缺失全面清查,以防類似事件再發生;以及台新銀行須全面檢視資訊系統進行調整或變更時,跨系統間資訊傳輸之正確性,並建立事前、事中、事後檢核機制,且本案相關改善措施應經外部獨立第三人查核並提報董事會報告,並由稽核單位列管追蹤及納入內部查核重點。
南韓SKT遭駭!拿「這理由」阻礙消費者 2日超過7萬用戶攜碼跳槽
韓國電信業者SK Telecom(SKT)近日爆發大規模USIM(用戶識別模組)資安外洩事件,高達2,300萬名用戶資料外洩,引發社會高度關注與政治層級介入。後續南韓國會科學技術情報通信委員會已計劃於6月8日召開聽證會,並傳喚SK集團會長崔泰源(최태원)出席作證,追究企業責任。綜合南韓媒體報導指出,次資安事故的嚴重性,讓外界聯想到2021年美國T-Mobile遭駭事件,當時波及超過7,660萬名用戶個資,當中包括姓名、出生年月日、社會安全號碼、駕照號碼等敏感資訊。後續美國T-Mobile與受害者達成3億5,000萬美元(折合新台幣約108億元)的賠償協議,每名用戶最高可獲得2.5萬美元(折合新台幣約77萬元)的補償。而美國AT&T也曾在2023年發生資訊洩漏,外包公司存儲的8,900萬名客戶數據外流,最終須向美國聯邦通信委員會(FCC)支付1,300萬美元(折合新台幣約4億元)罰款。但反觀SKT這邊,雖然對外界表示,僅需3個月,就可以完成所有用戶USIM更換,但用戶反應普遍冷淡。根據通訊業界4月30日統計,單日就有3萬5,902名SK用戶辦理號碼可攜轉移至其他品牌,兩日內合計超過7萬人脫離SKT,轉向KT、LG U+與廉價通訊商。而儘管SKT開始提供免費更換USIM,但還是讓消費者十分不滿,主要原因在於,SKT拒絕免除違約金,也因為如此,SKT遭到南韓政治人物譴責。科學技術情報通信部於1日宣布,已下令SKT在USIM供應不足情況解除前,全面暫停新用戶申請。另要求業者研議免除違約金、簡化受害者舉證責任與補償方案。國會委員會主席崔敏姬(최민희)也於1日當天直言,既然此次事故明顯源自SKT責任,就應立即免除用戶違約金,並質疑業者不願主動承擔義務的態度。同時,韓國網路安全主管機關「韓國網路振興院(KISA)」於4日公開指出,在對SKT伺服器進行調查過程中,除了先前已知的4種「BPFdoor」型惡意程式,還新發現8種變種惡意碼。這代表攻擊行動可能已擴散至除HSS(主用戶伺服器)之外的更多內部系統,進一步加劇資安疑慮。儘管KISA持續更新調查結果,SKT則以「案件調查中」為由婉拒對外說明。SKT副社長柳正煥(류정환)於記者會上重申尚無法提供具體細節,僅強調持續進行全面檢查與應對措施。此外,針對社會關注的違約金免除爭議,國會立法調查處也發表法律見解,指出若事件屬業者責任,依SKT現有用戶契約條款,企業有義務免除解除契約者的違約金。即便條文適用上存爭議,只要業者基於商業判斷或企業名譽考量,自主決定免除賠償亦無違法之虞。對於部分聲音質疑若免除違約金恐涉及「業務背信」,立法單位也強調,只要此舉屬公司長遠利益考量,或能減輕後續集體訴訟與政府懲處風險,即難以構成法律上之背信要件。目前SKT已備妥100萬張USIM卡,預計至5月底將增至500萬張,並從供應商Thales持續進貨。行動通信事業部長林奉浩(임봉호)表示,自6月起全國2,600間T World門市將優先為預約用戶辦理更換。對於新用戶禁令解除時間,SKT尚未提出具體日期,強調將視各項情況綜合評估。但社會與政界對SKT消極應對態度仍不滿。崔敏姬批評SKT拖延處理時程,以需經法律判斷與董事會決議為由拒絕立即行動,強調企業若真有誠意,今日即可主動啟動免違約金機制,切勿逃避應負責任。
TikTok認了!洩漏用戶個資回中國 愛爾蘭重罰5.3億歐元天價
愛爾蘭監管機構數據保護委員會 (DPC) 2日表示,中國字節節跳動旗下的TikTok因將歐洲用戶數據傳輸至中國,違反了歐盟《通用數據保護條例》(GDPR),且未滿足歐盟在數據處理方面的透明度要求,對其罰款5.3億歐元(約新台幣183.6億元)。數據保護委員會過去曾對亞馬遜和 Meta處以罰款。2023年,該機構因TikTok在處理未滿18歲用戶數據方面的失當行為,曾對其處以3.45億歐元罰款。愛爾蘭數據保護委員會表示,在調查過程中,TikTok曾表示未將任何歐洲用戶的數據存儲在中國的服務器上,但之後TikTok承認,確實在有限範圍內發生過此類情況,相關數據已被刪除。除了5.3億歐元高額罰款外,該裁決還包括一項命令,要求TikTok在六個月內,讓該平台調整其數據處理方式,並符合歐盟《通用資料保護規則》(General Data Protection Regulation, GDPR)的規定。
字節跳動遭抓包!傳送歐洲用戶個資到中國 TikTok恐面臨182.5億天價罰款
目前有消息指出,中國社群媒體平台TikTok正面臨歐洲一筆堪稱是天價的罰款。有知情人士表示,愛爾蘭資料保護委員會(Data Protection Commission,DPC)預計將對TikTok開罰超過5億歐元的罰款(折合新台幣約182.5億元),理由是TikTok母公司字節跳動(ByteDance)違反歐盟《一般資料保護規則》(GDPR),非法將歐洲用戶資料傳送至中國進行分析。綜合外媒報導指出,這次開罰是基於一項在2021年啟動的調查告後作出的結論,該調查發現TikTok將歐洲用戶資料提供給來自中國的工程師,這違反了歐盟對資料傳輸的嚴格規定。雖然TikTok曾坦承在某些情況下,中國員工有權存取用戶資料,但TikTok過去一直否認存在系統性的跨境資料傳輸行為。這起案件背景涉及歐洲與多國政府對中國企業資料安全的廣泛疑慮,許多國家更已禁止公務設備安裝TikTok。報導中提到,若罰款正式確認,這將成為愛爾蘭DPC針對科技企業所開出第二高的處分,僅次於2023年針對Meta開出的12億歐元罰款。根據《彭博社》報導指出,,愛爾蘭DPC近期已與其他歐洲隱私監管機構協商該處罰金額,預計最遲將於4月底正式對外公布。TikTok方面仍可選擇向愛爾蘭法院提出上訴,但目前尚未對媒體做出任何回應。愛爾蘭DPC則表示,目前不便評論。事實上,這並非TikTok首次遭受GDPR相關處分。TikTok曾於2023年因未能有效保護兒童用戶資料及年齡驗證機制不全,被DPC裁罰3.45億歐元。英國資訊專員辦公室(Information Commissioner’s Office)也曾在2023年因類似原因對TikTok罰款1,270萬英鎊。為回應外界對資料安全的質疑,TikTok宣稱正積極投資120億歐元於歐洲境內資料管理與保護計畫,並已在挪威與愛爾蘭設置資料儲存中心,同時委託英國資安公司NCC監控其資料流動。而針對美國政府要求的出售一事,目前市場上傳出包括亞馬遜(Amazon)、OnlyFans創辦人斯托克利(Tim Stokely)旗下新創公司,以及黑石集團(Blackstone)、銀湖資本(Silver Lake)與甲骨文(Oracle)共同主導的收購計畫,但尚未確定字節跳動是否會同意出售。
TikTok正面槓上美政府! 傳19日主動關閉全美1.7億用戶使用
全球短影音平台TikTok近期面臨美國政府要求不賣出就禁止的法令,要求TikTok在19日前出售美國業務,否則將應用程式在美國下架,隨後有外媒指出,TikTok決定硬起來槓上美政府,計畫在19日將全美1.7億用戶程式關閉,屆時恐怕讓用戶都親身感受到受到禁令的影響。綜合外媒報導,美國最高法院去(2024)年12月受理TikTok及其中國母公司字節跳動(ByteDance)的上訴後,決定加緊審理TikTok對「不賣就禁」的新法異議。新法要求TikTok必須在1月19日前出售美國業務,否則其應用程式將在美國下架。不過有消息傳出,TikTok沒有妥協,反而計畫在法令生效日完全關閉在美國的應用,目前有美國用戶嘗試打開TikTok時,會看到彈出視窗指引前往一個介紹禁令的網站;此外TikTok也計畫要提供用戶下載個人資料的選項,使用戶能保留自己的使用記錄。據悉,美國最高法院去年通過的法律,讓TikTok必須與中國母公司自述跳動斷絕關係,否則該應用程式就會被禁。但這條禁令並沒有要求TikTok要關閉,而是不讓蘋果或安卓手機的商店提供下載TikTok的服務,同時要求TikTok服務提供商甲骨文停止托管其美國用戶個資。在TikTok可能直接關閉在美國的服務後,讓原本法令生效還能繼續使用的美國舊用戶,也會受到影響,當地有多達1.7億用戶恐無法再使用TikTok。
TikTok「不賣就禁」案本週裁決! 外媒:美最高法院傾向「這判決」
全球短影音平台TikTok面臨美國政府「不賣就禁」的期限進入倒數,美國聯邦最高法院10日就新法對TikTok的禁令是否違憲,進行口頭辯論。美媒根據大法官的發言內容,研判高院傾向維持現行禁令,判決結果最快在13日當周公布。美國最高法院2024年12月受理TikTok及其中國母公司字節跳動的上訴後,決定加緊審理TikTok對「不賣就禁」的新法異議。新法要求TikTok必須在1月19日前出售美國業務,否則其應用程式將在美國下架。為時兩個半小時的辯論過程中,高院首席大法官羅伯茲(John Roberts)多次詢問字節跳動是否會應中國國安部門要求,以及向中方提供TikTok的美國1.7億活躍用戶個資,這已構成美國國會的疑慮。TikTok的代表律師主張,新法過於嚴厲地針對單一平台,不僅有違美國憲法第一修正案保障言論自由,還可能封殺一個深受年輕世代喜愛的社交媒體。該律師強調,川普1月20日就任美國總統後,對TikTok的態度可能轉變,因此希望高院能夠暫緩禁令,讓新政府有時間處理有關問題。川普在2024年總統大選時透過該平台,贏得年輕族群的支持,因此承諾拯救TikTok。不過字節跳動旗下另一款被認為是「小紅書海外版」及Pinterest、TikTok和Instagram混合體的社群平台「Lemon8」,正悄悄成為美國Z世代年輕用戶分享生活方式的新寵。而TikTok也在禁令生效前夕,不斷鼓勵用戶轉移到Lemon8。
LINE不能更改ID? 網曝簡單步驟快速變更完成
LINE是國人愛用的通訊軟體,然而許多人已使用多年,在當初設定ID時,有可能沒考慮太多,就放上自己的個資,在多年後出現號碼更改、透露個資的狀況,且ID似乎也難以更改。對此,則有網友分享只要簡單的幾個步驟就能更改ID。日前有網友在社群平台Threads發文分享,首先要找到官方帳號「LINE客服小幫手」,點到下方的「查看更多幫助」,再點下「寫信給客服」,選擇服務類別「Line」以及問題類別的「個人設定」,下面細項就會跑出「LINEID」,再點取「我想變更LINEID」,寫下詳細原因,並提供現在的LINEID,大概過2至3天官方就會寄出信件,告知是否可以更改ID。原PO也表示,更改ID後,聊天記錄、相簿、好友、貼圖、主題通通都在,資料不會不見,而官方讓更改的原因可能是因為涉及用戶個資,像原PO是原本的LINE ID是電話號碼或其他透露個資的狀況,但「能不能」還是由官方判斷。方法一出,許多網友便躍躍欲試,「更改申請成功,本來是家裡電話」、「太感謝,之前就在煩惱這個問題,我也是用電話」、「我也成功了,超開心」。
電費提醒簡訊假連結竊個資 台電:詐騙手法 請認明111短碼簡訊
小心簡訊詐騙。近期出現詐騙集團假冒台電名義發送「電費未繳提醒簡訊」誘騙民眾點選不明網址連結,藉此騙取用戶個資或信用卡資料。台電強調,「電費未繳提醒簡訊」不會提供任何網址連結,且簡訊已全面由111政府專屬短碼簡訊平臺發送,請民眾務必提高警覺,認明111簡訊來源。由於近期出現詐騙集團假冒台電電費繳費狀況查詢網頁,並透過簡訊傳送誘騙民眾點選詐騙網址,台電進一步說明,今(2024)年起「電費未繳提醒簡訊」已統一透過數位發展部開發的111政府專屬短碼簡訊平臺發送,且內容僅提醒民眾未繳電費的電號及月份,無提供任何引導連結,請民眾認明簡訊發送號碼「111」。台電說明,民眾如欲查詢繳費狀況,可至台電官網(用戶服務>網路櫃檯>電子帳單服務>簡易帳單查詢)以電費帳單上的電號查詢(無須登入),另亦可使用台灣電力APP確認,若接獲可疑簡訊或電話,請立即洽台電24小時客服專線1911或165反詐騙專線詢問,以免受騙。台電廣告
小心詐騙!台電未繳電費提醒 唯一認證「111」短碼簡訊
小心簡訊詐騙!近期民眾反映收到詐騙集團假冒台電公司名義發送電費未繳提醒簡訊,且簡訊中附有不明網址連結,藉此詐騙用戶個資或信用卡資料。台電強調,「電費未繳提醒簡訊」不會提供任何網址連結,且簡訊已全面由111政府專屬短碼簡訊平台發送,請民眾務必提高警覺,認明111簡訊來源。台電說明,自今(2024)年1月起,台電已統一透過數位發展部開發的111政府專屬短碼簡訊平台發送「電費未繳提醒簡訊」,截止5月底已發送超過200萬則,發訊號碼皆顯示為111,內容僅提醒民眾未繳電費的電號及月份,不會提供任何連結,亦不會由簡訊內連結導向繳費畫面。台電「電費未繳提醒簡訊」發訊號碼皆顯示為111,內容僅提醒民眾未繳電費的電號及月份,不會提供任何連結(圖/台電提供)。針對近期詐騙簡訊,台電已通報內政部警政署165全民防騙網,提醒民眾若接獲任何可疑簡訊,可撥打台電24小時客服專線1911或165反詐騙專線詢問。台電廣告