日前有駭客在地下論壇兜售宣稱是民眾的欠費資料、繳費期限、繳費方式等個資,就截圖透漏的資訊來看,疑似中華電信用戶繳費相關資料,為此中華電信發出四點緊急聲明澄清與駁斥。
中華電信的聲明為何? 地下論壇洩漏的資訊對用戶影響大嗎? 以下作一說明:
圖片來源: 網路
日前某地下論壇出現公然販售電信業者用戶繳費相關資訊,內容涵蓋用戶出帳代表號設備號碼、簡訊帳單識別、出帳日期、繳費期限、繳費方式、帳單金額、使用資費等等,且疑似是中華電信用戶帳單各項繳費紀錄。
經媒體報導後,中華電信發出聲明,提出4點說明:
一、本公司於日前獲得相關情資即展開調查,經詳細調查,本公司系統並無受駭或個資洩漏之情形。
二、經研判,此兜售情資係有心人士試圖透過自行收集之門號/證號,利用中華電信帳單簡易查詢功能,進行欠費查詢。若輸入之門號與證號皆符合無誤,僅可查詢不具個人識別性之帳務資料,並無個人資訊外洩,敬請民眾安心。
三、本公司於獲得情資第一時間已加強防護功能,以防止有心人士濫用帳單查詢功能。
四、本公司客戶個資及繳費系統絕無資料外洩情形,敬請外界勿以不實訊息以訛傳訛引起民眾憂心及恐慌。
根據報載該地下論壇所公開的資訊,的確如中華電信所言,資料來自用戶帳單查詢功能,一般民眾只要到中華電信官網或官方APP輸入會員登入資料就可進行了解該筆門號使用狀況與繳費紀錄。由駭客截圖資料來看,該駭客不知是使用什麼方式從電信業者端取得該相關資料(中華電信指稱是有心人士透過自行收集之門號/證號取得..)。
然而個資通常是指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料,但該資料只是該電話號碼的繳費與使用紀錄,屬於不具個人識別性的帳務資料,並無用戶本身的重要個資(如姓名/地址/證號..),對用戶的權益影響相當有限。
只是若如中華電信所說,該駭客乃透過自行收集之門號/證號取得,並利用中華電信帳單簡易查詢功能獲得繳費相關資訊,比較讓人擔憂是這些已被駭客透過不明方法蒐集到的門號/證號是否還會被做為不法的用途。
受到台灣寬頻普及與推動ESG風潮,電信業者這幾年皆加速開放民眾可以透過官網或是APP查詢或是辦理門號相關業務,無須再到實體門市,也盡量減少紙本申裝書與帳單使用。基於個資法與企業資安要求,電信業者也落實符合IOS 27001資安管理認證,並有嚴格的個資內控機制,以防止用戶個資外洩。只是民眾若所使用的電話號碼與證號被有心人士透過不明管道蒐集,就會衍生原本便民的線上查詢資訊可能外流,讓人心驚膽跳,防不勝防。
保障用戶個資安全天經地義,相信台灣電信業者無不盡其所能落實資安管理並致力杜絕駭客入侵。不過,民眾本身還是做好避免個資外洩的保護措施,包含不要點擊來路不明網站、不要隨便參與需要填寫重要個資的抽獎/問卷活動、勿使用過簡單密碼並落實兩階段認證、使用符合SSL或SET瀏覽器、勿使用公共WiFi上網進行攸關個資相關資訊傳輸、3C產品送修前確保個資以妥善處理、安裝必要的防毒/防駭軟體..等等,才能雙管齊下,避免個資外流產生無謂麻煩!