2015年10月29日 星期四

盜個資 聯發科前人資確定起訴

盜個資 聯發科前人資確定起訴


聯發科人力資源部林姓女副理,涉嫌竊取聯發科人事資料逾3,000筆後離職開設人力仲介公司,欲幫客戶挖角聯發科員工但沒有成功。台北地檢署查出,原在聯發科任職的林女丈夫也涉嫌幫她竊個資,昨天依違反營業祕密法、背信等罪將林女夫妻起訴。

聯發科向檢方報案指出,林女過去在聯發科擔任人力資源管理專案副理,林夫是工程師,林女在2012年離職前1、2個月,將公司員工人事資料透過網路寄到自己的私人電郵。林女離職後,開設獵人頭公司,常打電話回聯發科員工,欲幫多間高科技公司高薪挖角。

林女欲挖角聯發科員工的風聲在業界傳開,聯發科調閱相關電磁紀錄及郵件,發現公司員工個資幾乎全被林女竊取,人數約3、4,000人,且林女為拿到工程師的分機,使用林夫帳號密碼,登入人資系統查詢。

檢方偵辦後查出,林女開設獵人頭公司後,運用在聯發科竊得的人事資料,打了數百通電話到聯發科,找表現優秀的工程師詢問有無跳槽意願,都沒有成功。
 檢方偵訊林女時,她辯稱,她是人力部門主管,將公司員工資料存到私人電郵是工作需要;「找老朋友聊天」才於離職後頻頻打電話到聯發科。林夫辯稱,因工作需要才在家中登入人資系統。

檢察官偵辦後認為,林女丈夫在聯發科擔任工程師,沒必要查詢上百筆員工分機,認定兩人狡辯,昨天依違反營業祕密法、背信等罪將兩人起訴。

轉載自《中華人事主管協會

2015年10月23日 星期五

警蒐集總統參選人樁腳等個資 分局長致歉

警蒐集總統參選人樁腳等個資 分局長致歉


民進黨立委林淑芬在臉書爆料表示,今天下午新北市蘆洲分局警員拿著資料到她的服務處,竟要求填寫競選總幹事、重要樁腳、幕後金主的個人資料,甚至包括出生日期、身分證字號等。因新北市長朱立倫就是國民黨總統參選人,讓林淑芬質疑此舉是政治偵防,「難道這是國民黨政權保衛戰的方法?難道這是侯代理市長的強項嗎?」

蘆洲分局今晚十時召開記者會,分局長王文澤表示,這是偵查隊查賄治暴承辦人個人行為,私底下製作的表格,沒有經過任何幹部批示,承辦人就以E-mai傳給各派出所做調查,並不是針對特定的立委,尤其不是針對藍綠,造成林淑芬困擾,他再次致歉,將視狀況進行懲處。

轉載自《蘋果日報

2015年10月19日 星期一

非法保留解約戶個資 台哥大還狂叩要人回流

非法保留解約戶個資 台哥大還狂叩要人回流

台灣大哥大為搶客戶,非法保留已解約的客戶個資,並透過客服中心與解約客戶聯繫,只要線上核對資料,即可攜碼簽約,過程草率!

新聞圖片
台灣大哥大為搶客戶,非法保留已解約的客戶個資。(資料照)

北市法務局消保官室昨邀五大電信業者開會討論,會議中,台灣大哥大坦言保留客戶個資,但否認用於商業用途;消保官命業者須依《個資法》銷毀已解約客戶的個資。

讀者小藍(化名)向本報踢爆,其○九五三開頭的門號原屬台灣大哥大,多年前攜碼到中華電信;上週四,台灣大哥大的客服致電表示,只要老客戶回流,iPhone 6s可現折四千元,若他有意願將門號轉回台灣大哥大,雙方可立即在電話線上核對個資。

小藍追問,如何核對?客服人員稱,「我先唸前面的個人資料,您把後面的資料補唸完,如戶籍地址等;資料吻合,即核對完成。」小藍這才驚覺,早已與台灣大哥大解約多年,對方還竟保留完整個資。

國家通訊傳播委員會(NCC)平台事業管理處契約與爭端調處科長王建棠表示,依照電信法授權管理規則,消費者對電信服務退租後一年內業者可保留其個資,一年後就應刪除。若違反特定目的、當初蒐集範圍,可罰五萬至五十萬元

轉載自《自由時報

2015年8月25日 星期二

偷情網站用戶自殺 公司懸賞捉拿黑客

偷情網站用戶自殺 公司懸賞捉拿黑客

來自加拿大警方的消息,在黑客公布偷情網站Ashley Madison的用戶信息後,有兩位該網站的用戶自殺。

加拿大警方今天在位於多倫多的警察總部舉辦新聞發佈會,通報該網站遭黑客攻擊後的警方調查進程。

加拿大警方負責人埃文斯表示,該偷情網站的母公司Avid Life Media將懸賞50萬加元追捕公開偷情網站Ashley Madison數據信息的個人和團伙。

據信該網站超過3300萬的用戶信息遭竊。

Ashley Madison是一家偷情網站,這家網站給用戶提供偷情和婚外戀的機會。

警方負責人埃文斯在談到這個名叫The Impact Team的黑客組織時說:「我要正告這個黑客組織,你們的行為是非法的,我們也不會容忍你們的做法。趕快警醒吧!」

警方
加拿大警方埃文斯表示,黑客行為屬非法,應該到警醒的時候了。

現金懸賞
在宣佈該偷情網站的母公司將懸賞追捕黑客後,埃文斯稱,這個黑客組織最初發佈的數據資料裏確實包括用戶的信用卡信息。

他說,警方調查人員相信這些信用卡信息只包括卡號的最後四位數字。

儘管如此,他呼籲被黑客公布的受害者應該去核查他們的信用卡帳戶。

他同時表示,這次黑客攻擊已經演變成一系列的犯罪行為,並導致更多人受到牽連。
他說:「有些犯罪組織已經開始實施網絡詐騙,聲稱自己能進入此次被黑客攻擊的偷情網站。」

他說:「公眾應該明白,如果點擊了那些鏈接,你的電腦將被裝上惡意軟件、間諜軟件、惡意廣告軟件和病毒。」

轉載自《BBC中文網

偷情網站用戶個資外洩 台灣公務員淪陷?

偷情網站用戶個資外洩 台灣公務員淪陷?

日前美國知名偷情網站「Ashley Madison」遭駭客入侵,並把該網站的3700萬用戶會個資全數公開,驚動美國聯邦調查局(FBI)介入調查。現有消息傳出,在已被公布的電子郵件地址中,有上百個結尾是「.tw」的信箱,部份電郵地址還出現代表政府機關的「.gov」,共計115筆資料和台灣政府單位有關,難道公務員也上偷情網站尋求慰藉?

新聞圖片
美國知名偷情網站「Ashley Madison」遭駭客入侵,並把該網站的3700萬用戶會個資全數公開。(路透社)

《三立新聞》報導,「Ashley Madison」偷情網站被駭客盜走3700萬筆用戶資料,兩波最先曝光的帳號中,竟然有100多個來自台灣的電子郵件地址,台灣信箱數量高居第七,從國外網站另一份資料更發現許多信箱結尾是.gov,也就是台灣政府的電郵信箱。

報導指出,包括總統府服務信箱、台北市警察局、行政院岸巡署、新竹縣環保局、屏東縣長等公家機關電郵都淪陷。不過這些帳號都有可能被盜用,屏東縣府就出面駁斥,註冊偷情網站,隨便輸入email就能成為會員,有心人士上網搜尋就能盜用公開的信箱,強調無論是縣長個人或公務信箱,縣長絕對不會上這種不法網站。

轉載自《自由時報

駭客揭穿偷情網站個資 驚見共和黨高層

駭客揭穿偷情網站個資 驚見共和黨高層


日前美國著名偷情網站「Ashley Madison」遭駭客入侵,並把該網站的會員個資全數公開,隨後美國聯邦調查局(FBI)也介入調查,此外在這些公開的個資中驚見美國共和黨高層,不料這位高層竟稱,做為研究用途。

根據《nola》報導,日前偷情網站「Ashley Madison」個資遭駭,驚見美國路易斯安那州(Louisiana)共和黨的高層多爾(Jason Doré)的名字也列在其中,隨後多爾也透過聲明指出,確實曾經使用自己的名字和個人的信用卡註冊成為「Ashley Madison」的會員,但這僅是為了律師事務所的研究工作。

多爾表示,起初我們想要藉由這個網站找到一些可以研究的資料,不料我們只是在浪費時間和錢。多爾總共在這個網站花了176美元(約台幣5775元)。

轉載自《自由時報

2015年6月8日 星期一

台大網站有漏洞 校友求職個資遭洩

台大網站有漏洞 校友求職個資遭洩



不具名讀者向《蘋果》爆料,指台灣大學日文系網站中的系友會網站,5月遭中國某網站點名有漏洞,該中國網站並貼出台大日文系的系友求職資料作為佐證,有29筆系友的個資遭洩漏,包括姓名、學號、畢業年分、電話、地址等詳細個資。

《蘋果》記者目前已連不上台大日文系網站。台大日文系不願對此事回應。台大校方指出,據了解,的確日文系網站有些漏洞,目前網站已經暫時關閉,日文系已請資訊人員進行補救。《蘋果》致電其中一名個資遭外洩的校友,她驚訝表示完全不知此事,將會向系方了解。

轉載自《蘋果日報

2015年5月30日 星期六

機密曝光?柯文哲LINE「駭」風暴! 官員被盜刷

機密曝光?柯文哲LINE「駭」風暴! 官員被盜刷

柯文哲一直深深倚賴LINE溝通,市府團隊幾乎人人都是「重度資訊焦慮症」!不過現在­驚傳公務line群組遭駭客入侵!而且還是官員被盜刷信用卡,導致ID曝光!柯文哲趕­緊祭出危機處理防火牆,還畫出SOP圖,嚴禁「機密公文」再以即時通互傳,重要內容「­用口頭傳達」,以免再陷「駭客風暴」。

影片來源:TVBS新聞台

轉載自《YouTube

2015年5月29日 星期五

大立光驚爆內鬼 5工程師竊密跳槽先進光電

大立光驚爆內鬼 5工程師竊密跳槽先進光電


先進光電科技公司(3362)前總經理羅章浚,2011年間為了在最短時間內發展自動化生產技術及進程,向台股股王大立光電公司(3008)挖角,5名大立光電工程師先後跳槽,卻涉嫌竊取大立光自動化製程機密技術並搶先在中國申請專利,另與大立光員工勾結,竊取445筆機密檔案,台中地檢署今依背信、違反著作財產權、妨害電腦祕密等罪起訴先進光電公司、羅章浚及6名大立光電離職員工。

大立光電因機密遭竊案,前年曾對先進光電執行假扣押15.22億元,但最後遭駁回定讞,另再提起民事損害求償。

大立光表示,該案發生後,公司內控把關更嚴格,包括email使用權限、門禁管制、不得使用隨身碟及攜帶手機等,避免未來再度發生類似案件。先進光電總經理高維亞僅簡短回應,涉案的5位前大立光員工,很早就離職,公司暫不做任何回應。

起訴指出,羅章浚(43歲)透過先進光電業務部蕭姓副理居中牽線,挖角任職於大立光電自動化生產開發部的鄒姓、謝姓、翁姓3名現職員工,於先進光電成立自動化發展課,直接對羅負責,鄒等3人再挖角朱姓、張姓員工加入。

鄒姓等4名大立光電員工明知不得侵害公司營業機密及智慧財產權,離職2年內應遵守競業禁止義務,不得從事相同或類似職務,卻私自帶走大立光電的自動化生產技術等營業機密至先進光電,供做研發、抄襲之用,並持重製後的仿冒圖形向中國申請新型專利

期間,謝姓離職員工還勾結尚任職於大立光電的徐姓員工,提供機台運作影片和機台參數表等共445筆相關檔案資料給謝姓員工,而張姓離職員工於跳槽先進光電後負責點膠機的膠水配方,因瑕疵無法克服,也透過私交請現職員工洩露改良祕密及膠水空瓶等。

台中地檢署於前年5月搜索先進光電,查扣相關資料,調查後認定先進光電公司、前總經理羅章浚和6名已離職的大立光電員工涉及違反著作財產權、背信、妨害電腦祕密等罪,今偵結起訴。

轉載自《蘋果日報

丹堤會員個資遭駭 住址、電話全曝光

丹堤會員個資遭駭 住址、電話全曝光


連鎖咖啡店丹堤傳出個資外洩,系統遭駭客入侵,成千上萬筆會員資料被公布在俄羅斯網站,姓名、住家地址、電話、出生年月日及職業一覽無遺,隱私恐不保。目前丹堤已請張貼會員資訊的網站負責人移除相關資訊,並移請刑大科技偵查組介入調查。

民眾劉先生今向《蘋果》爆料指出,他是資安從業人員,常瀏覽資安論壇,有駭客為展現實力,會在資安論壇發布「駭」人的結果。日前他無意間看到有台灣人的個資被公布在論壇,這些民眾應是丹堤咖啡的會員。至於駭客疑為境外人士,據駭客發布的資料顯示,公布個資的時間應為5月10日。

換言之,會員資料已曝光19天,但丹堤咖啡對遭駭一事渾然不知,《蘋果》今致電丹堤告知此事時,業者也相當驚訝,並請處理會員個資的委外公司鉅潞科技查證此事。

丹堤表示,該批個資是存在台北中華電信機房,因委外處理的作業系統有漏洞而遭駭,公司已寫信要求有會員個資的相關網頁管理者將資訊移除,同時向台北刑大科技偵查組報案,並請鉅潞科技提供資料讓警方釐清駭客動向及犯案紀錄,目前客人個資已轉移機房做存放,鉅潞科技也已在做弱點分析及補強。

影片來源:中視新聞

轉載自《蘋果日報

2015年5月28日 星期四

竊密跳槽先進光電!大立光 6 名前工程師遭起訴

竊密跳槽先進光電!大立光 6 名前工程師遭起訴

largan

5 名先後從台股股王大立光電公司跳槽到先進光電科技公司的工程師,涉嫌竊取大立光自動化製程機密技術,甚至在中國申請專利,還與大立光員工聯手竊取 445 筆公司機密檔案,台中地檢署今(27)日依背信、違反著作財產權、妨害電腦秘密等罪,起訴包括先進光電公司前總經理羅章浚等相關涉案人員。

據《蘋果日報》報導,起訴中指出,羅章浚於 2011 年為積極發展自動化生產技術及進程,透過先進光電業務部蕭姓副理牽線,先後挖角任職於大立光電自動化生產開發部的鄒姓、謝姓、翁姓、朱姓及張姓等 5 名員工,加入先進光電新成立的自動化發展課,且直接對羅章浚負責。

跳槽的 5 名工程師明知離職 2 年內應遵守競業禁止義務,不應從事相似的職務,卻擅自將大立光自動化製程機密技術帶走,進行研發與抄襲,待技術重製後還轉而向中國申請新型專利。此外,還與當時仍在大立光任職的員工,聯手竊取公司機台運作影片及機台參數表等 445 筆機密檔案。

台中地檢署已於 2013 年 5 月至先進光電搜索,查扣相關資料,而大立光也於 2013 年 8 月就因機密遭竊案,對先進光電執行假扣押 15.22 億元,並提起民事損害求償。台中地檢署今天將先進光電公司、羅章浚及 6 名已離職的大立光電員工,依涉及背信、違反著作財產權、妨害電腦秘密等罪起訴。

轉載自《TechNews科技新報

2015年5月15日 星期五

Wappalyzer 分析網站使用了那些技術、架站程式和環境

Wappalyzer 分析網站使用了那些技術、架站程式和環境

Wappalyzer 分析網站使用了那些技術、架站程式和環境

想知道一個網站使用那些技術,或者以何種平台架站,對於有經驗的使用者來說,只要查看原始碼通常可以找出一些端倪,不過要獲得完整資訊可能需要花不少時間,若你想參考別的網站運用那些技術,例如免費資源網路社群是使用 WordPress 架站,搭配上 Nginx 網頁伺服器以及使用 Google Analytics、Google AdSense 等第三方工具,利用本文要介紹的 Wappalyzer 可以快速分析、找出相關資訊。

Wappalyzer支援 Google Chrome、Firefox、Opera 和一般的書籤工具列(Bookmarklet),安裝後,就能在瀏覽網頁時自動偵測該網站使用的網路技術,方便你找出需要的資訊。

除此之外,Wappalyzer 也會在網站內顯示使用該技術的網站比例,例如在資料庫內就有超過兩百萬個網站使用 WordPress 架站、超過七十萬個網站使用 AddThis 第三方服務,其他還有網頁伺服器、分析工具、CDN、資料庫、留言系統、控制台、網路空間等等,可以從使用的比例裡得知目前主流的項目為何。

網站名稱:Wappalyzer
網站鏈結:https://wappalyzer.com/

使用教學

STEP 1
開啟 Wappalyzer 下載頁面,找到不同瀏覽器適用的擴充功能,目前支援 Firefox、Google Chrome 和 Opera,如果你使用的瀏覽器不在此列,也可以將下方書籤列工具直接拖曳到瀏覽器裡,點選就能開啟 Wappalyzer 的網站分析功能。

Wappalyzer

STEP 2
安裝完 Wappalyzer 後,瀏覽器網址列右側會出現一個小圖示,開啟你要分析、檢測的網頁後,點選該圖示即可看到網站使用的相關技術和服務。

例如下圖顯示免費資源網路社群使用了第三方的 AddThis 按鈕、jQuery、CloudFlare 和 Google Analytics 及 AdSense ,可以找到的資訊相當豐富且完整,點選後能開啟網站,找到更詳細的使用比例。

Wappalyzer

值得一試的三個理由:
●支援 Google Chrome、Firefox、Opera 等主要瀏覽器
●可偵測網站使用的架站程式、伺服器平台和第三方服務
●從網站統計資料找出目前主流項目

轉載自《freeGROUP免費資源網路社群

手機APP個資隱私全都露 逾7成大學生不設防

手機APP個資隱私全都露 逾7成大學生不設防

根據一項對全台近160所大專院校學生調查顯示,大學生是雲端的重度使用者,但對資安及個資可能外洩認知不足,超過五成八使用者表示不清楚,另逾七成對於手機APP隱私權設定也不了解,且有八成四受訪者表示曾經中毒或遭病毒威脅。學者認為,大學生資安觀念薄弱,未來進入企業後,恐成為雲端資安的隱憂,建議教育部及大學應重視資安素養的養成。

新聞圖片
南市開發全國首支手機APP公共管線圖資下載查詢功能,小市民可為城市立功,一機搞定。圖與新聞事件無關。(資料照,記者洪瑞琴攝)

台灣微軟今天舉辦雲端資訊安全論壇,文化大學教育學系副教授陳信助針對全台160所大專院校學生進行雲端資安調查,一共回收1583份問卷,有效樣本為1410份。

調查結果顯示,大專院校學生是雲端的重度使用者,其中以社群工具(96%)、媒體播放軟體(95%)、網路通訊軟體(94%)、線上購物(81%)和線上遊戲(77%)是大學生最熱衷五大網路行為

調查也發現,大專院校學生對資安及個資安全管理能力明顯不足,有五成八對於個資或隱私權外洩的認知相對不足,甚至有八成的使用者承認曾經安裝或使用非正版軟體,當中有六成六使用者更因此曾被綁架瀏覽器,高達八成四的受訪者表示曾經中毒或遭病毒威脅。

調查也指出,有九成七大學生使用智慧型手機,但安裝手機APP時,卻有超過七成的受訪者不清楚隱私權條款等自身權益;另有八成三大學生不清楚APP同意條款會要求提供個資,且七成二受訪者不清楚即使選不同意仍可安裝部分APP軟體。

陳信助說,根據調查結果,全台大學生這群網路高度使用族群,對於網路資安及自身隱私權管理能力不足,未來進入企業後恐成雲端資安隱憂,建議教育部及大學應該重視。

微軟法務長施立成也說,台灣人對資安認識不足,畢業後進入業界,對台灣雲端發展和資安將構成威脅。

轉載自《自由時報

駭客入侵星巴克app 竊取帳戶金額 已多人受害

駭客入侵星巴克app 竊取帳戶金額 已多人受害

以往駭客從信用卡、銀行或是Paypal偷錢,現在連星巴克的手機支付程式都成了駭客的提款機。


星巴克的app讓民眾可以快速付款,並且可以從帳戶、信用卡或是PayPal直接加值。但這方便的功能卻為駭客打開方便竊取之門。駭客入侵民眾的星巴克app後,創建一個新的支付帳戶,再以加值方式把錢偷走。

第一位發聲的是同為星巴克消費者的記者Bob Sullivan。以下是CNNMoney最近訪問此類案件受害者的情況。

其中位於德州的顧客Obando上班途中買了杯星巴克後,還在通勤的路上,手機就不斷顯示自動加值50美元。五分鐘之內,他的星巴克app沒有與他確認,就自動加值了10次。Obando向星巴克反應要求停止支付與加值並且退款,星巴克卻要他自己去與第三方支付服務商PayPal反應。將星巴克app刪除的他,耗時兩周才拿回他被偷走的550美元。身為休士頓高中科技部門人員的他決定以後只用現金或是信用卡付款。這顯示星巴克沒有與顧客進行第二次的確認,就直接從帳戶扣款的大漏洞

另一名位於阿拉巴馬的受害者Overton的星巴克app也在短時間內被自動儲值五次,而app內的金額也全被提領一空。即指星巴克與PayPal承諾將退回她被偷走的115美元,但卻挽回不了消費者對於星巴克app的信任。

透過CNNMoney,星巴克澄清公司內部絕無受駭客入侵,也沒有外洩顧客資料。之所以會發生此類盜用事件,可能是因為顧客設的密碼過於簡單。星巴克建議顧客的密碼要由大小寫以及特殊符號共同組成。網路安全公司Lancope的主管Gavin Reid說,即便如此,星巴克還是有改進的空間與方式。相較之下,像是最安全的線上服務系統Gmail與Twitter都會請使用者進行第二次的身分確認與授權。傳簡訊到手機通知使用者,其帳號正在其它裝置上登入,請確認本人是否同意,如果不同意請進行相關處理。

即便這不是星巴克第一次被投訴的資安問題,星巴克仍舊不保證日後會加上第二道安全確認機制,只保證顧客被駭客入侵的所有損失,星巴克將全數補償。

原文出處:鉅亨網
轉載自《Yahoo奇摩新聞

2015年5月12日 星期二

高市府烏龍 役男個資貼上網

高市府烏龍 役男個資貼上網

高雄市社會局舉辦替代役役男環保公益職涯發展暨在職訓練活動,竟把出席的十八名役男的個資全放在官網供人下載。對此,高雄市社會局副局長葉玉如坦承是承辦人員疏失,已緊急撤除,會檢討改善。


身分證手機全露
高雄陳先生表示,四月中他在高雄市社會局官網上,看到一份「高雄市一○四年第一梯次替代役役男環保公益職涯發展暨在職訓練活動參加名冊」,竟出現十八名替代役男的名字、身分證字號、出生年月日及手機號碼全部列出來,覺得公務員對個資保護的觀念都沒有,大罵:「太糟糕了!」

緊急撤除並致歉
高雄市社會局副局長葉玉如表示,是承辦人員疏失,名冊有兩份,一份是詳細資料,一份是公告給參加者及大眾查閱的版本,但承辦人誤把詳細資料上傳公告,已緊急撤除,並向役男致歉,同時告誡承辦人員,承諾檢討改善。

達文西個資暨高科技法律事務所律師葉奇鑫表示,被洩露個資的役男可向法院請求五百元以上、二萬元以下的賠償金,若損失超過二萬元,也可舉證求償

轉載自《蘋果日報

2015年5月6日 星期三

澳洲政府出紕漏 G20領袖個資外洩

澳洲政府出紕漏 G20領袖個資外洩

媒體報導,澳洲政府誤將參加G20高峰會的各國元首個人資料,寄給亞洲盃足球賽主辦單位的工作人員。


澳洲移民當局證實曾發生G20領袖個資外洩一事,但未提供相關細節,也沒有說明是否已將此事告知G20領袖。

澳洲移民暨邊境保護部(Department of Immigration and Border Protection)發言人在聲明中表示:「已立即將這起事件送交澳洲私隱專員公署(Office of the Australian Information Commissioner)。」

聲明說:「收到資料的工作人員已即刻刪除檔案,資料並未進一步發送。」

英國「衛報」(Guardian)報導,澳洲移民官員去年11月7日誤將美國總統奧巴馬與俄羅斯總統蒲亭(Vladimir Putin)等G20領袖的護照號碼、簽證資料和其他資訊,寄給亞洲盃足球賽主辦單位。

根據報導,去年11月15至16日在布里斯本(Brisbane)出席高峰會,個資因此遭到外洩的G20領袖包括英國首相卡梅倫(David Cameron)、德國總理默克爾(Angela Merkel)和中國大陸國家主席習近平。

轉載自《大紀元

日本連通大陸伺服器被駭 500萬個資外洩

日本連通大陸伺服器被駭 500萬個資外洩

一個設在日本東京、連通中國大陸的中轉伺服器去年遭大陸黑客入侵,日本東京警視廳稱有506萬名網購網站顧客的個人資料被盜。


據日本共同社報導,經營該伺服器的公司SUN Techno位於東京都豐島區,東京警視廳網絡犯罪對策課去年11月以涉嫌違反《禁止非法入侵計算機法》等逮捕其負責人。其後東京警視廳對沒收的伺服器進行分析。

東京警視廳網絡犯罪對策課表示,該位於東京、連接中國大陸的中轉伺服器內,發現有黑客利用工具盜取逾700萬個網購網站顧客的帳戶名稱、密碼等。包括重複的資料在內,伺服器內儲存多達785萬項個人資料,分為150個檔案儲存。若扣除重複的部份,約有506萬名顧客的個人資料遭竊取。

警視廳對涉事中轉伺服器存有的個人資料之多,感到非常震驚。有調查人員說︰「分析工作只完成一部份,沒想到竟有這麼多。」

警視廳分析,中國大陸的黑客利用此中轉伺服器隱藏身份,非法取得個資並從網絡銀行的帳戶中進行提取現金等多項犯罪活動。日本警方指,已確定該營運商在來自中國大陸的犯罪活動中,擔當重要角色。

警視廳透露,利用該營運商等伺服器進行的網絡銀行非法匯款,僅去年上半年就發生至少300次,金額高達約4.5億日圓。

轉載自《大紀元

網購個資外洩嚴重 台經濟部嚴查

網購個資外洩嚴重 台經濟部嚴查

網購平台個資外洩,詐騙案件頻傳,經濟部成立個資保護行政檢查小組,對4家資安問題未改善網購業者,29日起連續3天將啟動首度行政檢查。


自個人資料保護法上路以來,網路零售交易業者常發生疑似個資外洩事件,導致網路詐騙造成民眾財產損失。

經濟部商業司表示,內政部警政署刑事警察局已設有165專線受理民眾通報網路詐騙案件,刑事局除了針對民眾報案進行偵察外,並將每週接獲民眾通報累計達10件以上網路零售業者移送商業司,依個人資料保護法查處。

商業司表示,除了依據個資法相關規定,函請業者限期提出改善措施,同時透過相關資安輔導計畫,派人實地訪查,協助業者改善資安問題。

為促使業者正視問題並加強改進,經濟部日前邀集行政院資通安全辦公室、內政部警政署刑事警察局、相關專家及學者共同組成網際網路零售商品公司行號個資保護行政檢查小組,將就重大個資外洩、特殊案件或突發性嚴重個資外洩案例的業者,列為行政檢查對象。

由於4家網購平台業者仍發生疑似個資外洩事件,經濟部官員表示,檢查小組自29日起連續3天將首度啟動行政檢查,若業者在行政檢查後仍未改善,將依據個資法第48條規定,按次處新台幣2萬元以上20萬元以下罰鍰。

轉載自《大紀元

2015年4月19日 星期日

偷公司資料e-mail給離職同事 女員工妨害秘密遭起訴

偷公司資料e-mail給離職同事 女員工妨害秘密遭起訴

台北市一名龔姓女子在塑膠膜、袋製造公司上班,前年10月起陸續將公司客戶資料交給自行開設公司的陳、吳姓離職同事,導致公司客戶大量流失。龔女的老闆調閱公司員工寄發的電子郵件發現,塑膠膜、袋的規格及客戶通訊錄都已經被龔寄到離職員工的信箱中,憤而對3人提告。台北地檢署檢察官今依妨害秘密、背信等罪將3人起訴。

據悉,陳男原本是公司內高階主管的親戚,在102年10月前離職後,與吳姓同事一起開設鑫鈺實業公司,主要銷售商品,部分與原公司完全相同。

檢警調查,陳男得知熟識的龔女可以掌握到公司內的客戶資料及商品規格表,102年10月至103年2月止,要求龔女將資料用電子郵件的方式寄出,在聯繫客戶低價搶客,導致銷售業績劇降。

龔女的老闆感覺有異,徹查員工公用信箱,發現龔女與搶客的公司有聯繫,除將她開除外,也提出告訴。


轉載自《自由時報

2015年4月15日 星期三

全球各國黑客部隊戰力總覽

全球各國黑客部隊戰力總覽


如果說核彈部隊是20世紀戰爭的大殺器,那麼網絡部隊無疑是21世紀這個世界的又一新殺器。何以見得?我們可以看到所有大國都開始逐步將自己的核彈數量和部隊數據公諸於世,但網絡部隊的情況外界卻一無所知。因為其重要,所以要隱秘。核彈只能是耀武揚威的擺設,任何一個國家都不敢輕易使用,這種傳統武力一旦使用必會導致兩敗俱傷的結果,但網絡戰和網絡攻擊就不一樣了,它是當今除經濟戰之外,另一個兵不血刃就可以征服他人的戰爭空間。同時,隨著無人機、無人戰車等兵器的出現“用鍵盤終結戰爭”成為大勢所趨。因此,各國都視其為未來的常態化戰場,並時刻開展著暗戰角力。


全球超過三分之一的國家都宣布組建網絡部隊,這個還是2012年的數據,估計現在明里暗裡組建的會更多。不過一般都是政局穩定且有一定實力的國家才會開始組建。


網絡部隊是配合網絡戰而誕生的特種兵種,目前以印度網絡部隊規模最大,據說有超過50萬人,實力最強的當然還是美國,據說已組織了超過10萬士兵。由於互聯網的聯通性和全球性,這些網絡部隊的行動不像傳統部隊訓練受場地和外在條件的影響,他們可以利用網絡肆無忌憚的隨時操練。因此,可以說,網絡戰實際上已經在我們身邊常態化的一直在發生著了。


雖然全球組建了網絡部隊的國家有超過40個,但這些部隊實在太隱秘,資料真的很難收集,因此整理了還能追溯到蛛絲馬蹟的十幾個國家的資料。戰力的評定是參考了攻擊能力、隱蔽能力、行動能力、發現能力、防禦能力、應急能力等維度進行綜合評定得出的。


美國作為全球霸主,網絡是它不可割裂的稱霸領域,其網絡部隊也是全球最牛皮的存在。它是最早將網絡打擊結合到實戰中的國家,利用IBM等科技公司部署在世界各國硬件的底層漏洞,真的已經修煉到指哪打哪的境界。分析得知,美國網絡部隊可以分成三級梯隊,遠程梯隊負責情報戰,文化戰:在友好環境下通過互聯網蒐集、竊取、分析目標國情報,控制和影響目標國文化及價值觀;中程梯隊負責破壞戰、輿論戰:在敵對狀態下通過網絡破壞目標國電力、能源等基礎設施,引導輿論對目標國進行政權顛覆;近程梯隊負責控制戰、操作戰:在戰爭狀態下直接破壞目標國指揮系統、爭奪核心系統控制權,操作無人機、無人戰車深入打擊目標國要害設施。這樣的梯隊建設,10萬人估計還是保守數目。


自從蘇聯解體,俄羅斯的政治經濟就大不如前了,但其科技基礎實力雄厚,瘦死的駱駝比馬大,網絡部隊也是如此,俄羅斯的網絡戰實力不容小視。有傳聞顯示東歐那些把西方金融機構搞的雞飛狗跳的黑客集團,很可能就是俄羅斯的網絡部隊在有組織的操演,假如真是這樣,那麼這種又提昇實戰能力,又解決經費問題的操作模式,就真的太牛皮了。俄羅斯網絡部隊的隱蔽能力特別值得稱道,很多美國網絡事件矛頭都直指俄羅斯,但以美國強大的追踪發現能力,卻依舊無法抓住其小辮。


以色列由於地緣政治原因,很早就成立了網絡部隊,並在一眾戰事的洗禮下,成為全球頂尖的網絡軍事存在。他們的強項是打擊能力。傳承摩薩德一擊必成的作戰理念,完全是中東各國的夢魘。


法國的網絡部隊雖然發聲不多,但卻實力強勁,這一點可以從其在科索沃和利比亞兩場戰爭中的表現看出。尤其是在利比亞戰爭中,其網絡部隊深度參與,且表現不俗,而由於歐洲政局的穩定和歐盟經濟的衰退,其定位主要以防禦為主。


作為大哥背後的女人,躲在美國背後的英國網絡部隊的事蹟鮮為人知,不過從斯諾登曝光的“五眼聯盟”來看,英國網絡部隊的技戰術能力應該不比美國差多少,唯一的差別是資金投入方面,英國褪去日不落帝國光環,不可能像美國那樣在科技上投入大量資金,但作為國際信息安全標準的製定國,其實力的底蘊還是在那的,因此,在網絡上,還是不要輕易的招惹英國。


德國由於二戰的關係,在軍事能力發展上總是小心翼翼。在網絡部隊的發展上也秉承著一貫克制的作風,但老虎不發威,千萬別當它是病貓,他們的擅長是在網絡武器的研發上,要知道那個世界上最邪惡的usb外設BadUsb就是德國人研製的。不過,既然他們只想做一隻安靜而無害的小白鼠,那我們就不要輕易去打擾它。


同樣是二戰戰敗國,同樣只能克制的發展軍事力量,但日本卻不是一隻安靜的小白鼠,而是一隻披著羊皮的狼,其網絡部隊的發展讓人感覺安靜的可怕,作為全球科技數一數二的力量,其國內互聯網的成熟程度堪稱世界之最,在這種情況下,居然很少有國家在網絡上潑其髒水,這完全不說明其善良,只能說明其可怕,反映出它的隱蔽能力出眾!日本的網絡部隊應是周邊國家不得不防的一支力量。


韓國近年來著力發展自己的網絡力量,從競技遊戲獨步世界到舉辦世界黑客大賽,都昭示著其蠢蠢欲動的心理活動,可惜的是韓國網絡部隊的對手是一支奇葩的網軍——朝鮮網絡部隊,有多奇葩,後面會說到,導致韓國網軍只有防守的份。韓國網軍實力較日本應該會差一個檔次。


伊朗是眾多阿拉伯兄弟中出類拔萃的強大存在,但不幸旁邊有個以色列,力量高其幾個level,故一直被壓制,只能想盡辦法防禦,但伊朗近幾年科技力量發展的不錯,網絡部隊就是其中之一,拋開扯淡的黑客組織“伊朗網絡軍團”不說,就其能在2011年俘獲美國“哨兵”無人機一項,就可見其網絡電子戰力量還是不可小瞧的。


印度是個太安逸的國家,導致了其雖有稱霸南亞的雄心,但缺乏執行力,在網絡力量發展上也是這樣,看似牛皮的50萬人的網絡部隊,目前卻只是淪為渣渣。不過,印度的軟件業獨步全球,這不是蓋的,說明在未來的網絡戰場上,他們還是有希望成為一支生力軍的。


朝鮮網軍,奇葩國家的奇葩軍隊,對它的傳說很多,很多人認為它很牛掰,但我覺得其綜合實力應該還是渣渣,會叫的狗不兇,就是這樣。其比較有優勢的一點在於國內只有局域網,沒有互聯網,因此,他們不用考慮防禦,只要在意進攻就可以了,這也是為什麼韓國網軍只能防禦沒法進攻的原因。不過,不接互聯網的環境、沒有與時俱進的新知、不健全的人才梯隊,真能培育出頂級黑客嗎?我表示懷疑。


敘利亞網軍造成的破壞和影響著實不小,這是敘利亞人民被壓迫後的吶喊,這種網絡力量,展示出不同國家在網絡上平等的一面,同時拓展出不少網絡新戰法。不過,估計所謂的敘利亞電子軍,應該不僅只有一些阿拉伯的小黑客,可能還會有一些東歐黑客或西方自由主義者參與其中。


如今,恐怖組織也有網絡部隊了,要引起各國的警惕,雖然從戰力水平來說,他們可能是渣渣中的渣渣,但是,網絡的傳播力和影響力是他們最看中的,在網絡上,他們只要存在著,就勝利了。


看完了以上內容你是不是有個問題,中國是不是有網軍?戰力如何?那麼,中國有網軍嗎?有嗎?沒有嗎?

我想這裡套用外交部發言人華春瑩的回答比較合適,“中國是遭受網絡攻擊最嚴重的國家之一,中方堅決反對一切形式的黑客攻擊。我們認為,網絡空間需要的不是戰爭和霸權,而是規則和合作”。

原文作者:威觀世界
轉載自《FreeBuf黑客與極客

2015年3月12日 星期四

「2015企業防範機密外洩風險大調查」結果出爐,48%公司曾發生員工竊取營業機密!企業如何自保?

「2015企業防範機密外洩風險大調查」結果出爐,48%公司曾發生員工竊取營業機密!企業如何自保?

近年來,由於行動化、雲端化,創造出新興的資訊服務,各類雲端儲存服務因應而生,網路及通訊軟體的發達強化了聯繫上的簡便,但現在人手一支隨身碟、員工上班LINE不停、彈指之間大洩公司機密,甚至許多企業內部重要文件、客戶名單、營業機密等資料外洩的情況也跟著大量出現,根據研究顯示,近半數的離職員工會把舊公司的資料帶到新東家使用,就連機制完備戒備森嚴的大企業也難以倖免、發生多起企業營業機密外洩影響公司營運等等的重大新聞事件;包括華碩、HTC、鴻海、聯發科,都曾面臨「內鬼叛將」的危機,企業機密資料外洩的情況遠比一般人料想像得還要嚴重許多,而這也突顯了人資管理者應儘早跳脫傳統的員工稽核、建立起辦公室內部專業自動化管控稽核系統機制的重要性。

根據中華人事主管協會於2月份發出的「2015企業防範機密外洩風險大調查」結果報告顯示,有約48%的受訪對象反應公司內部曾發生員工洩漏或竊取公司機密的狀況;且有高達65%以上的受訪對象,擔心內部員工蓄意破壞公司重要文件、洩漏公司產品價格甚至是使用不合法或非公司允許的軟體而影響公司系統,卻繼續使用傳統的方式管理相關行為,例如與員工簽訂保密契約(88%)、加強員工教育訓練和宣導(77%)、交由員工互相監督(21%)等辦法,但事實上,這些辦法在專家眼中,都比不上導入自動化管控稽核系統來得全面和有效。一套好的監控系統除了可以有效降低企業風險外,更可於事件發生時,主動偵測異常情事即時阻擋可能的資料風險事件,如此一來不但可以防止資料外洩,還有教育與遏止員工外洩資料的念頭,所留存的證據更可作為企業在面臨訴訟時保護與舉證之用。

此外,隨著資訊和通訊工具的應用日益便捷,員工很可能於上班時間透過電腦、網路或行動裝置打混摸魚,進行有損公司利益的行為,其中,企業主最擔心的項目調查結果為:

蓄意破壞公司重要文件
67%
洩漏公司產品價格
65%
使用不合法或非公司允許的軟體而影響公司系統
65%
濫用公司資源處理私事
52%
上班時間時逛網拍、打電動
31%
其他
6%

而在「人資部門針對員工的不恰當行為,以及不肖員工在離職前竊取或洩密的狀況,是否已採取進一步的管理辦法?」項目中,調查結果顯示:65%已採取進一步管理辦法,35%則表示尚未採取任何措施;其中,有40%的受訪對象坦承,該公司對於透過軟體工具協助HR自動產生統計報表,以了解所有員工的電腦及網路使用狀況,比方說花了多少時間在非工作相關的網頁、是否有在上班時間玩電腦遊戲、上網拍、或執行非公司允許的應用程式…等,認為有助於組織內部的人事考核,但目前礙於其他考量,例如預算、對是否會觸犯個資法疑慮等原因,目前暫時還沒有導入相關辦公室監控計畫,卻也表達了未來希望能獲取更多相關的資訊,如企業資料外洩與員工竊密案例、其他企業防範機密外洩的實務做法等,讓公司的HR能多方增進人員管理與稽核的軟體工具操作辦法及相關新知。

此份「2015企業防範機密外洩風險大調查」結果,將目前企業界針對預防洩密、人員機密管控的現況進行更深入的了解,同時讓HR們能夠快速因應年後轉職潮,遏止不肖員工竊取公司機密,避免企業蒙受重大損失!


轉載自《中華人事主管協會

2015年2月17日 星期二

巴西政府公布個人數據保護法草案

巴西政府公布個人數據保護法草案


巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求:

一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。

二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。

三、資料外洩時有義務立即報告主管機關。

四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。

五、不得提供個人資料給資料保護水平不相似的國家。

六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。

轉載自《資策會科技法律研究所

議員揭女師個資 施壓校方 不滿維基資料遭更動 認名譽受損

議員揭女師個資 施壓校方
不滿維基資料遭更動 認名譽受損


太囂張了!去年以政治素人之姿,當選六都最年輕議員的桃園市議員王浩宇,因不滿一名中學女老師在維基百科上編輯他的資料,認為影響名譽,不但在臉書公開女老師個資,還以議員身分聯繫該中學校長,女老師備感壓力,昨在批踢踢爆卦「我被議員施壓並公開個資」引發熱議,網友痛罵:「沒想到剛選上就這副德行!」王浩宇一度表示此舉是捍衛名譽,但昨午與女老師達成協議發文道歉。

新科桃市綠黨議員王浩宇(二十七歲),四年前成立「我是中壢人」粉絲專頁,粉絲人數逾二十七萬人,王去年底參選市議員,拿下中壢選區第二高票,讓地方政壇跌破眼鏡,怎料竟因維基百科部分編輯內容,以議員身分向復旦中學女老師張碧鳳施壓。張碧鳳向《蘋果》說,昨午與王浩宇達成協議,會刪除她在批踢踢的相關文章並發文道歉,「希望議員開心」。

師:未寫誹謗字眼
王浩宇日前發現維基百科的「王浩宇」內容中,部分擔任職務、任職時間有誤,認為編輯者張碧鳳散布不實謠言影響名譽,遂在臉書(goo.gl/KAEc4Q)po文,公布張師任職復旦中學、網路帳號,並致電該校校長。

昨凌晨,張師在批踢踢八卦板上爆卦「我被議員施壓並公開個資」,表示自己未寫誹謗字眼,卻遭王浩宇施壓、公審,王浩宇得知,又在臉書po文表示,只是想透過校長約張師面談以釐清誤會,認為張師惡人先告狀。


雙方協議互相道歉
昨《蘋果》聯繫上張師,她指出部分維基百科內容非她所編輯,且事後王浩宇不曾聯絡她,反而直接以議員身分去電學校找校長,讓她備受壓力,擔心影響工作、學生權益,因太過害怕而上批踢踢發文求救。復旦中學校長段台民昨則說,王浩宇來電只是希望與張師溝通,站在調解的立場協助雙方,並未施壓。

張師說,昨午透過其他議員與王浩宇溝通,王浩宇要求她刪除批踢踢上相關文章並發文道歉,可能因此王浩宇才在臉書發出道歉聲明,她說她在維基百科編輯的內容均有新聞報導可查詢,但她會在今凌晨刪除批踢踢文章,並在八卦板貼道歉文,「希望議員能夠開心」。

王浩宇昨說,面對網路上的批評,常急於澄清而導致更多誤解,對於一時不慎引發的風波感到抱歉,以議員身分的確會對張師造成壓力,將更加謹言慎行。

「剛選上就這德行」
對此風波,網友砲轟不斷,指王「沒想到剛選上就這副德行」,還嘲諷「第一次當議員就上手」;東海大學政治系副教授邱師儀批評,議員為個人事務找該校校長,不管是否有意施壓,都可能影響張師工作權,網路公開個資也是一種網路霸凌,建議他行事考量公眾利益議題及社會觀感,免遭非議。

轉載自《蘋果日報

2015年1月29日 星期四

MongoDB 教學 – 如何備份與還原 MongoDB

MongoDB 教學 – 如何備份與還原 MongoDB


在 MySql 之中,我們常用 mysqldump 命令來備份資料,至於 MongoDB,其實也帶有基本的資料庫匯出匯入工具,就是 mongodump 與 mongorestore 這兩個命令列工具。Document Database 不同於 Relational Database,所匯出的資料並不是可以直接閱讀的 SQL 本文檔,而是一般的二進位檔案。實際上這些工具都只能用作備份資料量比較小的環境中,如果資料庫的容量已經是數 TB,不管是 MySQL 還是 MongoDB,這樣傳統的備份方法就不適用,還是要用到 Replication 或 Sharding 這些 Online Backup 的方式比較好。

利用 mongodump 命令來備份 Mongo 資料庫

透過以下命令進行資料庫備份:

mongodump -h 127.0.0.1 -d my-mongo -o ./mongo-backup

mongodump 常用參數說明如下:
-h: 要備份的 MongoDB 連線位置
-d: 要備份的 Database 名稱
-u: 資料庫使用者名稱
-p: 資料庫密碼
執行完成後會在 mongo-backup 目錄下產生備份檔案,以資料庫名稱作為資料夾進行分類。執行畫面如下:


利用 mongorestore 命令來還原 Mongo 資料庫

要還原剛剛備份的資料庫可以透過以下命令

mongorestore -h 127.0.0.1 -d my-mongo-new –directoryperdb ./mongo-backup/my-mongo

常用參數說明如下:

-h: 要備份的 MongoDB 連線位置
-d: 要備份的 Database 名稱
-u: 資料庫使用者名稱
-p: 資料庫密碼
–directoryperdb: 指定要還原的資料庫檔案來源目錄名稱
–drop: 如果資料庫存在就刪除及重新建立 (小心使用)

執行畫面如下:


Linux 建立每日備份 Shell Script

#!/bin/sh

# Definded Dump Configuartion
rollingDays=7
dumpFilename="mongodb"
dumpTmpDir="/tmp/mongo-dump-tmp"
backupPath="/root/mongo-backup"
username="username"
password="password"
hostname="127.0.0.1″
database="my-mongo"

#Start Dumpping…….
today=`date “+%Y-%m-%d"`
echo “Today: ${today}"
echo “Start Dumpping……."

# Make backup directory
if ! [ -d “${backupPath}" ] ; then
echo “make dir : ${backupPath}"
mkdir -p “${backupPath}"
fi
if ! [ -d “${dumpTmpDir}" ] ; then
echo “make dir : ${dumpTmpDir}"
mkdir -p “${dumpTmpDir}"
fi

# Make parameter
dn="-h ${hostname}"
if [ “${username}" != “" ] && [ “${password}" != “" ] ; then
dn="${dn} -u ${username} -p ${password}"
fi
if [ “${databse}" != “" ] ; then
dn="${dn} -d ${database}"
fi

# Run backup script
rm -rf -R ${dumpTmpDir}
command="mongodump ${dn} -o ${dumpTmpDir}"
echo $command
$command
if [ $? == 0 ] ; then
cd “${dumpTmpDir}"
/bin/tar -zcvf “${backupPath}/${dumpFilename}-${today}.tar.gz" *
find ${backupPath}/${dumpFilename}-* -mtime +{rollingDays} -exec rm -f {} \;
fi
rm -rf -R ${dumpTmpDir}

上述 Script 如果不給 $database 就會全部備份,不需要的人請自行修改,謝謝。

轉載自《HKITBLOG

任職填寫人事資料…竟成前公司爆料文件

任職填寫人事資料…竟成前公司爆料文件

進公司任職填寫的人事資料表,沒想到離職後竟成侵犯隱私的工具!

吳承霖原在香港帝人化成公司在台代理商「葆旺公司」上班,離職後取得該香港化成公司的代理權,另行開設「冠羿材料科技公司」,與「葆旺」分區代理經營香港帝人化成公司商品,之後,吳承霖又以父親名義再開設販售同商品的材料行,「葆旺公司」總經理吳炯基認為,吳承霖透過父親公司以低價搶市,破壞市場行情,損害「葆旺」與「香港帝人」權益,前年6月,將吳承霖當初任職的人事資料呈交香港帝人公司,以證實吳承霖的確以父親名義再開公司營利。

任職時新人都被要求填寫人事資料,小心離職後成為前公司侵犯隱私的工具!(示意圖)
任職時新人都被要求填寫人事資料,小心離職後成為前公司侵犯隱私的工具!(示意圖)

事後,「香港帝人」向吳承霖求證此事,並出示人事資料表,吳承霖這才得知隱私遭洩漏,提告吳炯基涉違反個資法。

台北地檢署開庭時,吳炯基不否認將吳承霖的個人資料交予香港帝人公司,帝人公司也證述屬實,檢察官認為,基於人事管理目的,「葆旺」雖合法取得男子的出生年月日、身分證字號、家庭、婚姻、教育、職業等個人資料,但僅能用於該公司人事管理目的範圍內使用該資料,吳炯基合法取得吳承霖人事資料,卻非法使用,因此依違反個資法起訴吳炯基,並向法院聲請簡易判決

轉載自《自由時報

加強反恐 歐盟擬蒐集旅客個資

加強反恐 歐盟擬蒐集旅客個資


恐怖分子襲擊查理週刊巴黎辦公室,歐盟官員決心加強反恐措施,英國媒體報導,歐洲聯盟執行委員會計劃蒐集搭機旅客個人資料,並儲存於資料庫5年。

「衛報」(Guardian)報導,歐盟28個會員國內政部長,在支持查理週刊反恐大遊行當天,會商反恐措施後達成協議,將追蹤到國外為恐怖組織效力的恐怖分子列為優先要務,29日並將進一步討論。

歐盟計劃將所有搭機進入及離開歐洲的旅客個資,包括銀行卡資料,住家地址,餐飲喜愛等,全部儲存在中央資料庫5年,供警方與情報人員使用

歐盟公民自由委員會副主席阿布瑞克特(Jan Philipp Albrecht)批評,巴黎攻擊事件已顯示,大量儲存資料無助打擊恐怖主義,歐盟執委會的計畫,已違反不得大規模存取人民資料的權利。

歐盟與美國、加拿大及澳洲政府已達成協議,事先提供所有計劃,由歐洲搭機前往上述國家及地區班機的乘客姓名與資料,如此一來,名列「黑名單」的乘客將不得上機,但這份協議目前不包含亞洲、土耳其、巴勒斯坦及非洲。

目前歐盟會員國中已有14國正在設立他們全國旅客護照姓名系統,進出各國國家的班機資料都在內,歐盟新的資料建檔計劃將更完整,涵蓋整個歐盟邊界。

轉載自《中央通訊社

土地登記謄本,2/2新制上路,保護個資不外漏

土地登記謄本,2/2新制上路,保護個資不外漏

內政部在兼顧不動產交易安全與個人資料隱私的原則下,修正「土地登記規則」第24條之1等條文,自(104)年2月2日起實施,將土地登記謄本分為三類。

第一類謄本,顯示登記名義人全部登記資料,得申請者為登記名義人或其他依法令得申請者。第二類謄本,隱匿登記名義之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料。但限制登記、非自然人之姓名及統一編號不在此限,得申請者為任何人。第三類謄本,隱匿登記名義人之統一編號、出生日期之資料,得申請者為具有法律上通知義務或權利義務得喪變更關係之利害關係人。

登記名義人如不願意公開其住址資料,可以免費向任何地政事務所申請隱匿第二類謄本部分住址資料,或使用自然人憑證於內政部地政司全球資訊網〈https://clir.land.moi.gov.tw〉提出申請


轉載自《大成報

2015年1月20日 星期二

自建登入事件回報系統 即時監看Log免寫程式碼

將系統Log存入MySQL 以Trigger機制觸發郵件通知
自建登入事件回報系統 即時監看Log免寫程式碼

這裡將把Log資料儲存至遠端資料庫上並利用MySQL中Trigger的機制,在無須撰寫任何程式碼的前提下,完成一項可直接從資料庫層面自動回報Log紀錄中異常情況的功能。

魔鬼都藏在細節中,對系統而言,細節都藏在Log紀錄中,但由於Log紀錄十分繁雜,常使人退避三舍,因而浪費了可從Log紀錄中挖寶的機會。若能做一些設定,在無須撰寫任何程式碼的情況下,就能夠從資料庫自動回報Log紀錄中的異常情況,那將大幅提高網管人員的工作效率。

為了簡化說明,本文僅以「登入」事件為例,一旦發現有登入的事件(即有人登入)發生,就發送電子郵件通知管理者,相關架構如圖1所示,而架構流程如下所述:

1.主機產生Log事件,並將該Log事件儲存至遠端的MySQL資料庫。
2.MySQL資料庫發生資料庫新增(INSERT)事件,即觸發MySQL的觸發(Trigger)程式,而後利用正規表示法來解析(利用mysqludf_preg的正規表示法功能來取得登入事件的樣式)該新增的紀錄是否符合樣式。
3.如果符合樣式,就從資料庫中直接呼叫外部程式(以mysqludf_sys的呼叫外部程式功能),以電子郵件的方式通知管理者。

▲圖1 實作架構圖。

本次實作將會使用到的套件,則如表1所示。

表1 實作所需的套件 


什麼是syslog 

在實作之前,首先來了解Log紀錄所使用的格式(稱為syslog),syslog又被稱為系統日誌,這是一種用來在網際網路協定(TCP/IP)的網路中傳遞紀錄檔訊息的標準。syslog協定是一種主從式的架構(Client-Server),syslog Client端利用傳送出一個小的文字訊息(小於1024位元組)到syslog Server端(通常為syslogd程式)。syslog系統日誌訊息可以利用UDP協定或TCP協定來傳送。基本上,相關系統日誌資料是以明碼型態傳送。syslog的格式如下所示:



syslog格式定義共分為四個欄位:

· 記錄欄位事件發生的日期與時間
· 記錄發生此事件的主機名稱(如上述的Spampc)
· 記錄啟動此事件的服務名稱(如上述的sshd)
· 記錄訊息的實際資料內容

syslog是以Facility(種類)與Level(嚴重等級)來定義事件的種類及嚴重等級,其中Facility指的是那些種類的事件(如ftp mail等類型事件),Linux系統將事件類型區分如表2所示。

表2 事件類型說明 


Level則是用來描述事件嚴重的程度,如表3所示可區分成下列的嚴重級別(由低至高)。

表3 嚴重級別說明 

rsyslog伺服器介紹 

rsyslog早從2004年即開始進行開發,目的在於開發一個更強大的syslog伺服器來取代掉傳統的syslog伺服器,時至今日,大部分的Linux系統均已內建rsyslog來取代傳統的syslog伺服器。rsyslog伺服器是一個模組化的架構,它區分為三個模組(Module),如圖2所示。 

▲圖2 rsyslog伺服器的三大模組。

其中,INPUT模組是指定資料來源,例如可指定syslog的資料來源為檔案或從Socket而來,而PARSE(解析)模組提供針對所接收到的syslog資訊再設定過濾條件以取得更精確的資訊,最後的OUTPUT模組則是指定要將最後的syslog資訊儲存到那裡(如資料庫或檔案或其他)。 

在本文中將不管PARSE模組,而僅將所收到的主機紀錄(Log)傳遞至資料庫中,常用的模組說明如表4所示。 

表4 常用模組功能介紹 

在說明rsyslog的基本組態後,接下來說明如何編譯rsyslog。由於預設的rsyslog伺服器並未安裝支援MySQL資料庫的選項,所以這裡要重新以原始碼編譯。 

在下載原始碼並解壓縮後,執行如下的指令(如下#為註解): 


安裝成功後,在「<原始碼目錄>/plugins/ommysql」下的createDB.sql檔案內有記錄需建立的資料庫表格名稱。利用檔案內容來建立相關的資料庫表格。建立完成後,接著說明rsyslog伺服器組態檔(/etc/rsyslog.conf)的設定說明,如表5所示。 

表5 rsyslog伺服器組態檔設定說明 

接下來,設定rsyslog.conf來為rsyslog伺服器加上MySQL功能,基本上,只要在rsyslog所提供的預設組態檔內加入下列設定即可,如圖3所示: 


▲圖3 在預設組態檔內加入新設定。

本例是將所有產生的Log紀錄置入本機內MySQL資料庫上名稱為syslog的資料庫,在設定完成後,利用「/usr/local/rsyslog/sbin/rsyslogd -f /etc/rsyslog.conf」來啟動rsyslog伺服器,如果一切正常,此時syslog的紀錄資訊應該會即時地匯入資料庫中。 

Trigger簡介 

觸發(Trigger)是MySQL提供的一種事件驅動的機制,它可在資料庫事件(例如新增或修改等動作)執行某些動作(最常見的是檢查資料庫資訊的正確性)。 

在實務上,經常會有資料庫檢查的要求(如本文所要求的,當有登入事件發生時,就發出電子郵件通知管理者)。為解決此類問題,一般都會使用自行撰寫的程式,以輪詢(Pooling)的方式定時地對資料庫做檢查的動作,但如此的做法常會造成一些時間的落差(依輪詢所設定的檢查密度而定,如5分鐘檢查一次)。 

另一種做法是可考慮在資料庫層面上解決,一旦資料庫發生相關的異動,就利用MySQL觸發機制來觸發,執行相關的指令或程式,本文就是採用此種解決方案。 

利用觸發的方式,當資料庫接收到主機傳來的Log資訊時即觸發外部程式來執行相關動作。在本文中,希望達到的功能是,當資料庫接收到有登入事件時,就以電子郵件(E-mail)的方式通知管理者。接著,就來說明MySQL的觸發機制。 

在MySQL 5.0.2版本之後,就支援觸發器的功能。觸發器是一種註冊在資料庫表格上的程式。當新增(Insert)資料、修改(Update)資料或刪除(Delete)資料等資料庫事件發生時,就可依相對應的觸發條件來處理,例如在新增資料後或新增資料前發生時觸發相關程式。所以,通常被應用在當資料新增或修改時來驗證資料的正確性,或者做相關的資料計算,以下說明觸發器的用法。 

觸發器將觸發的時機點定義為之前(Before,在資料庫動作之前觸發)與之後(After,在資料庫動作之後觸發),並定義New(資料庫更新後的資料)及Old(資料庫更新前的資料)來表示新舊的資料庫。以下為建立觸發的語法: 


在說明MySQL的觸發器機制後,繼續說明本文會使用到的MySQL外掛程式(UDF)。 

什麼是UDF 

為了讓更多人能參與增進MySQL功能的工作,MySQL提出了UDF(使用者自定函數,User Define Function)的架構,只要撰寫程式的內容符合此架構的規範,即可撰寫MySQL定義的函數來提升MySQL的功能。在「http://www.mysqludf.org/」網站中有相當多的UDF函數,值得一看。表6為常用的UDF函數說明。 

表6 常用的UDF函數 

接下來,說明本文所使用的UDF函數。 

lib_mysqludf_sys簡介 

或許是因為考量資訊安全的關係,MySQL並不像其他的商業化資料庫軟體如微軟的MSSQL,有提供直接呼叫系統指令的功能。不過,從使用者的便利性來看,提供可直接從MySQL執行系統指令的功能,在某些情況下是相當便利的,而lib_mysqludf_sys就是用來直接從資料庫呼叫外部程式的功能。本文將利用此程式庫所提供的功能呼叫外部程式來寄發電子郵件。 

要特別注意的是,在lib_mysqludf_sys的說明文件中,有特別說明此程式庫尚在實驗的階段,亦即尚未完全穩定,在使用上可能會有一些不可預期的結果出現。依照筆者的測試,簡單的系統指令(如ls cat等指令)可以正常的運作,但若執行自定義的程式(例如自行撰寫的程式),有時候會造成資料庫重新啟動的現象。以下就來說明如何安裝lib_mysqludf_sys程式庫,安裝步驟如下: 

先下載lib_mysqludf_sys,並解壓縮原始碼: 


然後,將lib_mysqludf_sys.so複製至MySQL的Plugin目錄(通常為MySQL的「lib」目錄下的「plugin」目錄),在此為「/usr/local/mysql5/lib/plugin/」。 

登入MySQL後,以「mysql -u root -p[資料庫密碼]」登入,接著以下列指令新建函數(其中mysql>為提示字元): 


lib_mysqludf_sys的相關函數功能,以下分別加以說明: 

·sys_get:取得系統變數例如PATH(系統路徑)的變數內容,如圖4所示。 

▲圖4 取得PATH(系統路徑)的變數內容。

·sys_set:設定系統變數的內容,如圖5所示為設定系統變數(MYPATH)的內容。 

▲圖5 設定系統變數(MYPATH)的內容。

·sys_eval:執行指令並取得回覆的資訊,如圖6所示為顯示passwd的檔案名稱,與sys_exec不同的是,此指令回覆的資訊為執行的結果,而sys_exec指令回覆的是此指令是否成功的執行,也就是回傳代碼(如1或255)。 

▲圖6 顯示passwd的檔案名稱。

·sys_exec:執行指令並取得執行後的回傳代碼(僅傳回零值與非零值來代表指令是否有正常的執行)。 

lib_mysqludf_preg簡介 

lib_mysqludf_preg程式庫主要是提供MySQL更進階的正規化表示法的功能,本文利用此程式庫所提供的正規化表示功能來取得相關Log的樣式,安裝步驟如下: 


登入後,以「mysql -u root -p[資料庫密碼]」登入,然後使用下列指令新建函數(mysql>為提示字元): 


相關的函數說明如下,這裡僅說明有用到的函數: 

·PREG_RLIKE:以正規表示法來表示符合的紀錄,語法如下: 


·pattern:為正規表示法
·subject:為要驗證的欄位 

執行範例如如圖7所示,該例為查詢Message欄位是否有Accepted password的樣式,亦即登入的資訊。 

▲圖7 查詢Message欄位是否內含Accepted password的樣式。

·preg_capture:取得樣式中的字串,語法如下: 


·pattern:為正規表示法
·subject:為要驗證的欄位
·capture:取得符合樣式的字串 

執行範例如圖8所示(在登入事件的記錄中,取得登入使用的來源IP)。 

▲圖8 在登入事件的記錄中取得登入使用的來源IP。

最後,使用以下的Trigger(觸發)直接從資料庫收到登入事件,即可呼叫外部程式(名稱為email)發出電子郵件通知管理者: 


至此,即可在不撰寫任何程式的情況下完成登入事件自動回報的系統。 

<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。> 

轉載自《網管人雜誌