網站個資外洩事件時有所聞,有時要取得個資不需要高深的駭客入侵技巧,或向駭客買木馬攻擊包,只要拜一下Google大神,這些脆弱不堪的網站就自動將整批訂單/會員個資攤在眼前。
上週又有大學生入侵各級學校、政府機關、醫院等網站,竄改網頁並將入侵過程製作成教學影片,甚至將攻擊程式公布在網站上,被警方以妨害電腦使用罪送辦。一直以來,不斷有學生駭客為了出名,炫耀懂得駭客入侵技術,而誤蹈法網。
不管是為了出名或者出自於好意,不該碰的還是不要碰。如果想要提醒大家注意,在部落格或論壇上公開,都需要小心。過去也曾有發現政府機關網站洩露個資而向媒體爆料的民眾,反遭控告的例子。最荒謬的是,在該事件中,爆料民眾主動提供給該機關的網站問題資料反而成為檢方起訴的證據。
政府機關網站通常委外開發,這起發生在去年,洩漏1萬6千筆個資外洩事件由於登上媒體版面,引起機關首長注意,而委外廠商為了卸責,證明並非網頁設計問題因而報案。事實上該網站的設計確實有疏失,包括使用的授權機制過於簡單,密碼不正確仍可登入系統,以及只控管IE瀏覽器而忽略其他瀏覽器,導致程式無法引導Firefox的使用者到清除session的畫面,使得資料被看光光。
許多時候,發現網站資料外洩,循正常管道通報往往石沉大海,爆料者因而訴諸媒體。也許要吸引媒體注意,或為了強調問題,爆料者試出網站管理者的帳號,以示資料外洩嚴重性,但此舉卻正好違反刑法第358條。
上述案例這是被以刑法第358條「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者…」起訴,雖然最後法官最後只判處2萬元罰鍰及緩起訴。但仍讓人不免覺得好心沒好報。
法界人士不諱言表示,檢察體系也存在數位落差。什麼樣的網站是有設計疏失,而什麼樣的漏洞算是疏失,許多檢察官無法正確判斷。現下,類似的電腦犯罪案件將有增無減,檢察體系數位落差問題值得有關單位正視。無論如何,下次若有發現資料外洩的網站,還是不要自己以身試法,個資法已過,將來或許集結受害者的力量,會讓相關單位比較願意重視。