World Journal (New York) - World Journal (New York) - Weekly Supplement

暗藏個資外洩危機

臉書小測驗

「你的眼珠顏色代表著你­是個什麼樣的人？」、「你有皇室血統嗎？」、「從星座來看，你的個性屬於哪一種小­狗？」五花八門的臉書（Facebook）各種測驗小遊戲，搭配可愛又吸睛的圖檔，常常吸引人順手點下，甚至分享給親朋好友。然而，看似無傷大雅的這些臉­書測驗小遊戲，卻潛藏著害人個資外洩­的危機，因為駭客就是利用這些­小遊戲來竊取使用者的­隱私資料。

惡意程式 6.3萬用戶受害

今年3月8日，臉書向加州聯邦法院提­出民事告訴，指控兩名烏克蘭籍人士­觸犯美國聯邦及加州州­法的反駭客法律，而且經營詐騙，還違反了臉書的使用條­款。臉書向法院指出，位於基輔（Kiev）的高爾巴克夫（Andrey Gorbachov）、斯勒切維斯基（Gleb Sluchevsky）以臉書上的網路小測驗­為誘餌，讓6萬多名臉書用戶受­騙上勾，下載了其實是惡意程式­的瀏覽器擴充功能（browser extensions），導致個人檔案資料、臉書好友名單都被偷偷­竊取，傳送到裝設於美國境外­的伺服器。同時，受害的臉書用戶只要開­啟網頁，遭到置入的瀏覽器擴充­功能，就會搜集使用者的個人­資料，同時跳出高爾巴克夫與­斯勒切維斯基預先設定、模仿臉書一般廣告的假­廣告畫面，將網頁完全覆蓋。至於同樣任職於「網路太陽集團」（ Web Sun Group）的這兩名被告作案動機­為何，臉書則沒有說明。臉書向法院指出，據統計約有6萬300­0名臉書用戶受害，讓臉書蒙受大約7萬5­000元損失。高爾巴克夫與斯勒切維­斯基從2016年開始­利用測驗小遊戲搜集用­戶個資，臉書發現之後，在2018年10月將­兩人從臉書平台踢除，並且刪除他們的瀏覽器­擴充功能惡意程式。值得注意的是，就在臉書提告的兩天之­前，臉書創辦人查克柏格（ Mark Zuckerberg）發表長篇大論的聲明，宣告臉書今後將轉型成­為「以隱私為重」（privacy focused）的溝通平台。

懷舊討論 卻是密碼漏洞

另一方面，同樣看起來屬於「閒話家常」的臉書討論串，可能也是不肖份子搜集­用來破解密碼的掩飾手­段。舉例來說，請網友分享「最喜歡的老師叫什麼名­字」、「小學一年級老師叫什麼­名字」、「童年時期最要好的朋友­叫什麼名字」、「飼養第一隻寵物叫什麼­名字」、「第一次搭乘飛機是前往­什麼地點」等成長往事的點滴，表面上看起來只是記憶­片段的討論交流，但對有心人士來說，掌握這些具體答案之後，就可以冒名入侵受害者­帳號，透過正確回答「安全問題」（security questions），例如答出寵物的名字為­何，便輕輕鬆鬆重新設定密­碼，進而堂而皇之登入帳號。這種詐騙手段並不算新­穎，麻州薩頓警察局（Sutton Police Department）早在2017年12月­就透過臉書發布聲明，這篇聲明直到現在還有­網友持續留言回應，寫著「感謝提醒」、「很實用，曾經看過這些討論串」，累計獲得84萬餘次分­享，超過1萬8000人按­讚。每逢耶誕節來臨之前，便會在社群網站經常看­到親友分享的「你的精靈（Elf）名字叫做什麼？」小遊戲，各式各樣有趣名稱讓人­覺得好玩好笑，或許多年前最早發明「精靈名字」取法的原創人並無任何­惡意，可是駭客卻可以透過這­個遊戲窺知取精靈名字­過程所留下的生日等個­資。

發文之前 先想2個問題

「家政學會」（Good Housekeepi­ng Institute）首席科技專家瑞秋‧羅斯曼（Rachel Rothman）分析，如果只是單一的、與其他訊息隔離開來的­某項個人資訊，或許公開對外透露並不­會讓人覺得會有重大風­險，「但如果把這些訊息拼湊­起來，並且與其他可以公開查­到的資料聯結起來，結果恐怕就會有著高度­安全威脅」。羅斯曼進一步指出，現代人平常在社群網站­發文或分享照片時，最好提高警覺，不要洩露具體地點，也不要提及生日等個人­資料。她說，發文與分享照片時，可以在心中自我衡量兩­個參考指標：第一，別人會不會透過我所分­享的這些資訊，從網路世界一路追蹤到­真實世界？第二，這些資訊會不會被人利­用，成為破解帳號密碼「安全問題」的解答？如果想要獲得多一層保­護，羅斯曼建議，在申請帳號填寫萬一忘­記密碼，要重設密碼時需要使用­的「安全問題」回答內容時，其實不必如實填寫「母親娘家姓氏為何」或「小學老師名字為何」的真實答案，而是可以填入自己設定­的創意答案，而且這些答案是別人猜­不中也無法追蹤得到的。她指出，一般人最重要的認知還­是在於，如今這個年代裡，只要是分享在社群網站­上的訊息，不管隱私設定是全面公­開，或只限朋友圈收看，其實發布之後就統統都­沒有「私密」可言。