你不知道的個資風暴來襲專題：小遊戲代價大 資安戰從下載APP就開始

「小姐，你剛到 XX 平台使用 XX 銀行的信用卡刷 2500 元買了一組化妝品，卡號是 XXXXX，但你設定按錯了喔，變成分期付款，你已經被鎖卡了，你快到家裡附近的 ATM 處理，不然帳戶內的錢會被扣光。」

從假冒財經部會、銀行官方電話，或是自稱網購平台，向消費者謊稱工作人員作業疏失，只能到 ATM 處理解除分期付款，或要求匯款到指定帳戶、誘騙到超商買點數等等，電話詐騙手法何其多，台灣民眾已經司空見慣。很多人都想問，「為什麼詐騙集團這麼厲害，對身分證字號、銀行帳號、信用卡號碼、住址，甚至連買了什麼東西，都一清二楚？」

資安公司賽門鐵克曾在 2017 年指出，台灣個資外洩全球是第五，亞洲第一。個資外洩的後果，包括被駭客盯上、帳號密碼被盜、變成詐騙的口袋名單成為肥羊外，更可能被轉賣給有心人士、成為詐騙集團幫兇等，但民眾可能不知道，光是在社群網站上跟風玩「變臉」，就等於主動雙手奉上自己的照片圖庫。APP的個資外洩戰，在使用者按下「允許」時就開始。

變臉APP暗藏霸王條款 用戶主動奉上個資

「FaceApp」是其中一款在網路上十分盛行的手機應用程式，用戶只要上傳照片，就能透過「老化特效」看到老年的自己長什麼樣子，但很多使用者不知道，「FaceApp」內藏霸王條款，條款中明定 FaceApp 有權保存、修改、散播使用者的所有照片，還可能被拿來作商業用途，未來想刪也刪不掉。

資安專家、台灣賽門鐵克首席技術顧問張士龍對記者表示，在現今的時代，使用者輸入了個人資訊後，確實無法掌握這些資料會流向何處，因此暴露在資訊外流的風險中。但是比起因為系統被攻擊而造成個資外洩，現在不少資料外洩的情況，其實發生在下載 APP 並授權使用的階段。

不過，以政府現行人力及執行單位的專業領域，難以檢核業者的個資保管方式及嚴謹度，甚至公司倒閉後，也無從追尋「流浪個資」的去處，現階段個資保護不僅只是政府努力方向，消費者的安全意識也得抬頭。

張士龍觀察，現在有許多 APP 的要求授權內容並不合理，例如手電筒的程式卻要求提供手機通訊錄，或是記帳程式要求取得使用者的所在位置。這些超出合理授權範圍的要求，都會讓使用者的資料暴露於風險之中，根本不需要等到系統被攻擊，資料就在使用者主動按下「下一步」的過程中流了出去。

開發登山紀錄 APP「Hikingbook」的新創公司登山書創辦人柯政祥，現在手握 1 萬 5000 名山友的資料，他也有類似的看法。他強調，要求合理授權、資料加密與使用優良的雲端服務供應商，都是確保資料不會外洩的方式。

柯政祥以自己開發的 Hikingbook 為例，由於需要紀錄山友的登山路線、環境與身體狀況，在使用時會要求取得「定位」、「相機」與「健康」功能的權限，但除此之外，跟APP無關的權限就不會要求。「不合理的授權要求，一定有問題。」

資安防護不可能滴水不漏 下載APP先看授權

曾多次協助私人企業進行網路系統安全檢測、修補漏洞的白帽駭客吉米（化名）也說，雖然現在社會大眾已經慢慢提升資安意識，在提供個人資料的時候，多少會謹慎一點，然而在使用APP的觀念上，不管是消費者或開發者，資安意識仍然不足。

吉米觀察，現在有不少企業短期活動的APP採取委外設計的方式，資料的管理與資安品質參差不齊，甚至有的企業在取得他們所需的資料後，並沒有對APP後續控管，導致這些資料被系統開發者掌握或販售。

站在一個開發者的角度，柯政祥認為資安不能只有使用者在意，開發者也有責任確保資料的安全。首先，一定要強化通訊與資料傳輸的加密，如此一來即便資料不幸外洩，也因為加密而無法讀取實際的內容；另一方面，使用 Google、Amazon 等優良的雲端服務供應商提供的服務，有助於強化保護資料安全。

吉米也認為，現在的時代不存在「滴水不漏」的資安防護，防護與攻擊有來有往，使用者不能只期待不知身分的人會好好保護這些個資。雖然無法掌握自己的個資會流向何方，但在使用 APP 時至少要花點時間，從下載頁面掌握 APP 的相關資料，包含開發者、用途等等，至少能過濾掉一些有疑慮的對象。

張士龍指出，現代人的重心已經逐漸從電腦轉移到行動裝置上，對於過往在電腦上訓練出的防護觀念也應該一併轉移，他強調「在電腦上怎麼做，在行動裝置上就該怎麼做。」

不想個資遭濫用 這些重點都要注意

網路個資外洩陷阱多，要減少被濫用風險，資安專家建議，「好奇心不要太重」，社群網站上一些心理測驗或遊戲 APP 儘量不要點，並移除不必要的 APP，平常就關掉 GPS 定位，因為「凡走過必留下痕跡」，臉書等社群網站都會記錄一舉一動。

張士龍也建議，消費者在下載任何 APP 之前，應該要對該 APP 有一定的了解，包含由誰發行、功能是什麼。此外，最好從 APP STORE 或是 Google Play 應用程式商店等可信的管道下載。

下載之後，除要確認該APP要求的授權內容與說明是否符合，以及授權內容是否合理外，最好也應安裝可信的開發商提供的防護軟體，藉此強化資安，避免因漏洞或惡意軟體，造成個資外洩的情形。

（新聞資料來源 : 中央社）