Re: [問卦] 台灣抓漏小天使被企業跟政府關切?
※ 引述《nk11208z (小魯)》之銘言:
: 前兩個月左右吧
: 幾個大學生創建了台灣抓漏小天使這個專案
: 這個專案就是只要輸入你的真實姓名+身分證後六碼
: 就知道你的個資有沒有洩漏,但這也導致很多人懷疑個資會不會被該網站收集
: 但該網站也說他們絕不會收集個資,並且輸入完資料後會亂碼產生
: https://imgur.com/Ra7r57I
: 但剛剛卻發表了以下聲明
: 親愛的使用者:
: 由於持續受到政府與企業單位關切,本人(專案發起人)不堪其擾,因此於西元 2019
: 年 10 月 23 日正式將本專案移轉予 香港 Starlight Systems Company 公司(下稱該公
: 司)。
: 本人一貫堅持資訊安全與民主、言論自由之立場,並基於促進公眾利益之出發點營運本站
: 至今,本人承諾本次服務移轉絕對安全,如服務條款所示,絕無個資洩漏之可能,請各位
: 使用者放心。目前本站所有服務皆已暫停提供,待服務轉移完成後,將會重新啟動服務。
: 為了保障各位使用者的資訊安全,本次服務移轉僅包含網域、網站名、商標名、Google
: Analytics 之使用權限與社群媒體粉絲專頁,不包含資料庫,敬請各位放心。另在此聲明
: ,後續服務之資料庫內容皆為該公司所新增、維護,概與舊有團隊無關。
: 請注意,由於上述資料庫不移轉方針,包括但不限於訂閱名單的所有資料庫內容皆不會移
: 轉至新服務內。為了避免造成困擾,平台預定將提供一鍵續訂頁面,讓使用者能無縫轉移
: 至新服務上。使用該續訂頁面,即代表您(使用者)同意舊有團隊將您的信箱地址、姓名
: 與身分證末六碼之雜湊值及姓名(用於信件內稱謂)提供予該公司作為訂閱信件寄送用途
: 。舊有團隊與該公司再次保證,絕不會將上述資料用於信件訂閱服務外之用途。
: 該公司深受本人信任,日後將接手本專案之營運,敬請各位使用者繼續支持本專案。
: 此致
: Breach.tw 台灣抓漏小天使 專案發起人
: Starlight Systems Company 公司負責人
: 2019 年 10 月 23 日
: 來源:https://reurl.cc/5gO3oG
: 為什麼這麼好用的網站會被關切阿,阿不就是政府及企業對於個資的處理都很隨便嗎
沒有喔~根據我姑婆...內政部長徐國勇的說法 都是各級學校的鍋(誤
其實原作者還有另一段話
---------------
給原使用者:
大家好,我是台灣抓漏小天使原專案的發起人。在我因為各種因素而被迫轉移服務之際,
我想和大家聊聊關於這個服務的一些事情。
一開始,這只是一個因為 AIS3(新型態資安暑期課程)臨時拼湊出來的專案而已,讓使
用者可以方便得知自己的個資是否有外洩,是被誰外洩的;沒想到回過神來,已經成為一
個連後台管理系統都具備的完整服務了。
一路走來,除了原先團隊的合作外,在開源社群內也有許多人為這個專案做出了貢獻,不
論是程式碼、發想或文字撰寫。我想大家都是抱持著滿腔熱情,相信這個服務能為台灣的
資訊安全意識帶來改變,才能在電腦前默默的打出一行又一行的程式碼、半夜不睡覺只為
了抓出程式的錯誤和不眠不休的討論專案改善與優化。然而,我也從未想到,這個服務竟
然會受到這麼多的關切與阻撓。
面對政府機關與私人企業法務的關切與壓力,老實說,身為一個大學生的我,真的被嚇壞
了,一時之間完全不知道該如何應對。在我心中產生了一些憤慨、一些失望,與難過——
公家機關以現行法律條文試圖規避對當事人義務的實現、企業僅僅關注自身的利益與名聲
,卻把使用者權益視如草芥。在國外有 Have I Been Pwned 與 Experian
IdentityWorks 這樣的專案,喚起大家對於個人資料掌握與資訊安全的意識。我本來以為
,我能夠像他們一樣,喚起台灣人對於個人資料安全的警惕,讓公部門與企業也能更重視
自己的系統架構、個人資料保護。但現實將我狠狠敲醒,我只是個大學生,我把一切想的
太簡單了。 我想,可能是台灣還沒準備好,容不下這類吹哨者的存在吧。
在這裡,我想和各位使用者道歉。很抱歉我沒能頂下這樣的壓力繼續為各位服務。很抱歉
,我只能為台灣的資安做出這一點小小的貢獻,只能半途而廢。我們擋下了 DDoS 的攻擊
、擋下了謠言的惡意,卻擋不住權力與法律的暴力,真的非常對不起。
Starlight Systems Company 是我非常信任的一家公司,我相信日後他們一樣能繼續為各
位服務,承繼我們的精神與熱情,繼續為台灣的資安領域做出貢獻,還請各位不吝支持,
非常謝謝各位。
Breach.tw 台灣抓漏小天使 專案發起人
------
政府機關基於個資法的疑慮施壓還有道理
私人企業法務!? 乍看似乎有些奇怪
但仔細想想也蠻合理的
企業個資外洩有哪間企業主動賠償過?
如果讓你查到自己資料外洩
進而求償或者登上媒體版面
企業損失就大了 所以當然不會讓這種東西存在
不過該網站轉移大半年了還是沒恢復服務
其實這樣的服務在我國個資法不是沒有存在的空間的
可以依個資法第19條以及第20條去爭取
原作者提到的Have I Been Pwned的作者Troy Hunt
也是經過一番風雨才現今的地位
有興趣可以看看他的部落格這篇文章
https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/
-----
這次台灣身分證資料外洩內含新發補發身分證註記
其實這個非常嚴重
因為我想大多數企業驗證身分的方式都是靠
https://www.ris.gov.tw/app/portal/3014
這個方式去驗證身分證的真偽
企業不是政府機關
所以只能靠這個去驗證
理論上偽造一張騙過私人企業的身分證
只要知道身分證字號、發證日期、發證地點、領補換類別
照片或其他資料是假的也無所謂(前提是該企業沒掌握真正資料)
-----
然而這個查驗機制最大問題是任何人無須登記都能輸入
而且一天可try 2次
所以只要有舊的身分證資料 要try到最新的資料也不是不可能
所以日後查詢應當需登錄紀錄身分
且當效法目前聯合徵信中心可以申請email通知
有人透過系統查詢身分證真偽當事人可以立刻得知
或者開放本人可以查詢哪些機構單位曾經查驗本人的身分證
不會身分被盜多個門號或者多個銀行帳戶
得等到警察找上門當事人才會知道
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.21.241.27 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1591196262.A.0F3.html
→
06/03 23:23,
4年前
, 1F
06/03 23:23, 1F
→
06/03 23:25,
4年前
, 2F
06/03 23:25, 2F
※ 編輯: nihil2006 (60.248.121.28 臺灣), 06/04/2020 01:45:38
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):