2009年1月12日 星期一

「個人資料」的某些情境探討 (About Scenario of Personal Data Leakage)

個人資料外洩的問題,大家都知道很嚴重,但都搞不清楚怎回事。多數人都認為是別人的問題,很多時候都是自己把個資送出去的。
保護個人資料,「你」也有責任,且「大家」的責任更重。
可以參考「聯合徵信中心」網站的「資訊新時代 個人資料保護須知」一文。
微軟網站也有一些建議:進階技巧︰ 保護個人資料
我這裡思考了幾個情境,希望能大家能注意,這些情境不是自己做好資安防護就能解決的,畢竟很多狀況是你無法完全掌握的。

情境一:會員或商務網站的個資
很多網站都會有會員的資料庫,當然,你是會員,網站資料庫就有你的個人資料。當你在網站登錄會員資料的時候,一定會填寫的一些資訊,就是聯絡的電子郵件信箱,還有這個會員網站需要的帳號密碼,這兩個資料很微妙,因為其他資料你有可能填寫假的。你有仔細想想這其中的關聯嗎?如果會員網站的密碼,就是聯絡的電子郵件信箱密碼,這可是嚴重的問題啊。換句話說你已經把「聯絡的電子郵件信箱」拱手公諸於外了。如果又是萬用密碼...這可不是好玩的。
這個情境,你得保證下列情況,你才能確保你的個人資料安全:
1.網站管理者不會查閱資料庫中你的資訊,窺探你的隱私。
2.網站不會被入侵,網站資料庫資料不會被竊取。
3.內部不會有人販賣個人資料,也就是內賊通外鬼。
4.網站程式設計沒有問題,不會被搜尋引擎取得或他人未經允許的查閱。
5.密碼管理問題,你得做好密碼分級分層管理的。如果你還是一個密碼打通關的,千萬小心啦。
會不會突然間覺得好像很多個人資料流浪在外呢?會員資料,有時就等同客戶資料,只是客戶資料有可能是公司資料的,這又是另外一個層級-商業機密或商業間諜。

情境二:IM 的 Web2.0
這情況更絕了,是別人在幫你維護個人資料。有些人在 IM 經常變更暱稱,為了能夠識別他人,所以很多人會維護 IM 上的聯絡人清單,姓名、地址、電話...搞不好連照片都有。甚至在把很多個人通訊錄都給它放在網路上了,會這樣做的多半都是有業務性質工作,這個族群的人通常不太有資安觀念的。這只有一個問題,萬一這人的 IM 帳密外洩了呢?
這個情境,你得保證下列情況,你才能確保你的個人資料安全:
1.他人善盡保護他的 IM 帳密嗎?【如情境一,也許已經把密碼公開了哩】
2.會不會 IM 帳密外洩了還不自知呢?【你!出賣朋友嗎?】、【網路上交朋友要小心】、【騙取MSN帳密的釣魚網站...真多!!】這些文章你非注意不可,別人或你都有可能外洩帳密。
3.別人是否把隱私資料往外送呢?例如精彩的圖片或機敏檔案...
4.別人的系統中會不會有惡意程式呢?
這個情境得先看是這個人的資料是否有價值,就像狗仔隊一樣,如果你被盯上了,你得小心囉,畢竟掌握權不完全在你的手上的。如果你是關鍵人物或知名人物,你得小心的劃出一道防火牆了。我發覺這情況似乎越來越嚴重了。看到這裡,「大家」是不是先把 IM 上的密碼改成一個比較特別的密碼!

情境三:搜尋引擎的利用
只要開啟瀏覽器,連上搜尋引擎網站,利用搜尋引擎尋找跟自己有關的資料,例如名字、代號、E-Mail...等,看看有沒有敏感資料在搜尋引擎中。很簡單的動作,也許就可能知道某網站正在洩漏你的個人資料,可以採取一些行動,甚至法律動作進行自保。這應該算是比較常識的,也頗常上新聞媒體的。有心人事可以用,你也可以利用的。
這個情境,你可以檢測個資是否外洩,確保你的個人資料安全:
1.是否有網站未盡保管之責。
2.檢測自己是否在網路上的活動軌跡,是否有過多外洩情況。
如果發現 google 有敏感資料,可以參考【重灌狂人】網站文章進行移除工作,但問題根源還是存在的。

情境四:個人化網站的個資外洩
Web 2.0時代,你就是主角,但,你很可能疏忽在網路上不小心公開過多個人資訊。目前很多部落個可以分享個人資訊,也有 IM 可以公開個人資訊、照片、檔案...等,務必謹慎使用。有些人是收集資料後做行銷用的。
這個情境,你得確保下列,才能確保你的個人資料安全:
1.可以利用一般權限瀏覽個人資訊,最簡單就是用另外一個瀏覽器採一般使用者權限瀏覽,檢查是否開放過多個人資訊。
2.也可請友人在網路上檢視個人訊息是否正確。
3.當然啦!你也要確保帳密不會被騙走的;網站系統不會被破解。
4.是否自己把機敏資料或隱私圖片在網路上呢?誰能確保它的安全性。

以上最佳解決方案:
1.網路的第二個身分,記得習慣性留假資料。當然啦,某些地方是不行的,例如網路銀行、報稅資料的...這些地方只能選擇相信它。
2.不要留下機敏資料或隱私圖片在網路上,連主機上都要仔細審慎評估。
3.密碼管理技巧。最好除了帳密之外,應該要有其他配合身分驗證的機制,但目前很多都只有基本的帳密驗證,這是很脆弱的。

沒有留言: