網路隱私 - 資安趨勢部落格

黑暗網路（Dark Web,簡稱暗網）利用隱私功能來建立匿名性和執行惡意活動

2014 年 03 月 28 日2021 年 06 月 29 日趨勢科技 TrendMicro

黑暗網路：不受拘束，網路惡棍，或是兩者兼是？

自從虛擬化技術在2000年中期出現後，企業已經顯著地發生大規模的IT轉型。時代的巨輪滾向了雲端運算。我們站在雲端和行動運算的邊界上。我們的業務領域經歷了這一切大規模的創新與破壞之後，開始看到其對消費者的影響，以及他們如何意識到這些技術發揮作用。

我許多的朋友和家人也開始瞭解雲端的基本概念，還有「有個應用程式可以做到」的手機行銷也相當廣泛地出現在我們身邊。然而，雖然我對這很有愛也尊重一切，我還是要說，在這星球上只有少於10%的人意識到這生態環境的安全性問題。更少的人能夠理解黑暗網路（Dark Web,簡稱暗網）以及那裡發生了些什麼。

在我的工作和社交圈內最流行的想法是隱私問題。有的尋找從政府那邊保持隱私，有的只是想要保持他們的生意和個人資料遠離網路犯罪分子，雖然不幸的是壞人正在以驚人的速度勝利中。而這些危險的威脅黑手也在尋找相同的隱私保護，只是理由天差地別。黑暗網路（Dark Web,簡稱暗網）的巨大吸引力在於將隱私功能用在不軌的企圖上。黑暗網路（Dark Web,簡稱暗網）利用隱私功能來建立匿名性和執行惡意活動。

哥倫比亞廣播公司和60 minutes昨晚合作推出了令人驚歎的報導，分析了資料掮客販賣我們個人資料和網路活動背後的商業行為。這次將目標直接瞄準在採集和銷售我們敏感資料背後企業所創造的商業模式。這採集通常是在使用者不知情下完成。而我會告訴你的就是，網路犯罪份子也利用黑暗網路（Dark Web,簡稱暗網）來做相同的事情，而且是匿名進行。因此在本質上，我們在網絡上的隱私被扒了兩層皮。資料交換和網路武器交易在黑暗網路蓬勃的發展，它可以被透過隱蔽工具，像是TOR（洋蔥路由器）來協助使用。

繼續閱讀

< 情到濃時,也不要共用帳密 > 把隱私和密碼視作你的最後一塊錢一樣防衛!

2014 年 02 月 25 日2020 年 01 月 21 日趨勢科技 TrendMicro

臉書沒登出,男上傳她裸照辯「誤傳」還偷改密碼,這則報導指出一名男子因不滿同居女友移情別戀，因先前2人共用電腦時，有儲存女方的臉書帳號與密碼，男子登入後將她自拍的裸照設定公開瀏覽，甚至還竄改對方密碼,讓該女無法登入,該男被移送法辦。

許多情侶情到濃時,甚至與另一半共用帳號密碼,或是拍攝親密不宜公開的照片,以下也是一則真實的故事,看完之後你再決定是否要跟另一半共用帳密。

跟另一半共用帳號嗎?(信件被偷窺導致失去孩子監護權真實案例)

作者:Richard Medugno，趨勢科技專案經理

我認為夫妻或夥伴共用電子郵件帳戶是一個很大的錯誤，個別的帳戶共用密碼也是一樣。另一個同樣不優的錯誤則是，設定讓另一半，朋友或家庭成員能容易猜出的密碼。

為什麼會有這些負面又偏執的擔憂？答案應該是很顯而易見。隱私侵犯是我們這個更加緊密連結世界的主要問題。我建議把隱私和密碼視作你的最後一塊錢一樣防衛。就連對你所愛的人也一樣，因為就如我們都知道的，有時候事情就是會變得「複雜化」。

拿我的朋友Katy來說（這不是她的真名）。她最近經歷了各種心痛的感覺，因為她的伴侶，我們就叫他Ray好了，讓她瀕臨崩潰。Katy和Ray有一個孩子，在搬到芝加哥前共同度過了幾年快樂的時光。我不知道在風城中兩人的關係發生了什麼事，但Ray開始窺伺Katy，並侵犯了她的線上隱私，包括取得了她在Yahoo!雅虎的電子郵件帳戶。

Ray嫉妒了

當Ray看到Katy在她Yahoo雅虎電子郵件中跟昔日男友的一封電子郵件後，就發脾氣了。他控訴她藕斷絲連，把兩人的孩子帶到他媽媽家，還把Katy鎖在兩人的公寓外。Katy被逼得去住朋友家，直到她找到自己的地方住。

在一次和Ray之間情緒激動的即時通訊息往返後，Katy再度犯了錯，傳了一封很容易遭誤解的訊息，說她很不高興，想要「結束一切」。Ray把往來的訊息列印出來並呈交給法官以取得孩子的監護權。法官命令Katy接受精神狀態評估，並僅准許Katy每週一次在有人監督的情況下探視她才正在學走路的孩子。

Katy的人生變得亂七八糟，只因為她的男友取得了她的電子郵件帳號。由於事情發生時正值她失業中，Katy不得已只好傳送電子郵件向朋友和家人「乞求」金錢以助她渡日。

另一個問題

Katy深感受侵犯和侮辱，只因為她對自己的線上帳戶密碼未加防範。但事情還未終了。另一個問題，就如許多人一般，Katy在不同的帳號中都使用了相同的密碼，讓其他人極容易便幾乎取得她生命的全部（銀行往來，工作，朋友和家庭聯繫）。

這個故事的教訓是什麼？不要和任何人分享你的密碼，不同的帳號要使用不同的密碼。確保你每幾個月就會變更密碼，以保護你的隱私，你的身份，以及你的財務安全。

以下是設定密碼的快速竅門：

1. 你的密碼應該至少有8的字母的長度，混合了大小寫字體，數字或符號。

2. 絕對不要使用個人資料。任何是公開知識的也不要使用。任何家庭成員名字，寵物，地址或重要日期都不夠安全。即使是逆向拼字也不夠安全，因為這也已是常用的方式。

3. 你的密碼不該是尋常的英文或其它語言的文字。駭客會利用程式以字典來檢查所有的字。推薦閱讀密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案繼續閱讀

你該做些什麼來保護你的隱私秘密？

2014 年 02 月 19 日2014 年 02 月 19 日趨勢科技 TrendMicro

很少有人是一本完全打開的書。非常合理也自然的都會保留一些事情，像是財務和醫療記錄不讓人知道。還有一些可能是瑣碎或無聊的事情（比方說對音樂的品味很糟），到更加嚴重的事情（像是一個人過去的創傷）。

現在有這麼多分享的方法，讓事情保持私密變得日益困難。網站和各種服務往往會要求填寫個人資料並追踪使用者的上網習慣，以提供更「個性化」的體驗。除了特定群組間的分享方式外，上網分享幾乎已經成為與公眾分享的代名詞。不論一個帳號的隱私級別為何，貼在網路上的任何東西遲早都會向大眾公開。

這樣子的活動讓一些使用者重新考慮他們願意分享的資訊數量。在2014年，我們將會看到使用者花更多精力來學習可以保護自己資料和控制線上分享程度的工具。今年的重點是確保秘密是秘密。

不只是一般人有秘密要保護。企業也是。這可能包括他們的未來計劃和戰略，到他們目前的程序，以及他們員工和客戶的個人記錄。一旦公開或洩漏給他們的競爭對手，損失將會達到好幾百萬美金，在最糟的情況下，會讓他們完全離開這業界。

保護資料在今年應該要成為每個企業的頭件大事，想一想，我們每個月都會看到重大的資料外洩事件。2013年中有好幾起重要的資料外洩事件，而我們會在今年繼續看到這類的事件。

作為我們2014年預測的一部分，在我們的技術長 – Raimund Genes幫忙下創造了這段影片，談談在今日的數位情勢下，使用者和組織可以做些什麼來保護自己，並保護他們秘密的秘密：

所以，你可以做些什麼來保護你的秘密？我們這裡的建議可以幫助使用者：

避免在社群媒體上過度分享。
不要在你不信任的網站上使用網路銀行或購物。
追踪你的資料，無論它是在雲端或在你其中一個設備裡。

總之，做個網路好公民將有助於避免你的秘密在網路上被網路犯罪分子或其他不良份子找到。

繼續閱讀

對美國國家安全局和憤怒鳥感到憤怒嗎 ?

2014 年 02 月 11 日2016 年 01 月 25 日趨勢科技 TrendMicro

在資料隱私日（一月二十八日）這天，很多新聞討論最近被披露的美國國家安全局（NSA）收集資料的事件，特別是針對熱門遊戲憤怒鳥。資料隱私日這一天是為了致力於提高對於網路隱私和保護個人資料的意識。最近所披露的這事件肯定也提高了意識。不過雖然有很多談論重點放在美國國家安全局和憤怒鳥，但如果將重點放在它們身上，這不僅是個錯誤，還會錯失了良機。最近的這些爆料應該刺激出對行動世代隱私狀態更廣泛的討論，特別是行動設備和應用程式所收集的那些資料，被用來做什麼和是否提供清楚的告知。

從最近這些爆料中所學到的教訓並非只是美國國家安全局是否做得太超過（這需要另一分開而關於政策的討論），或憤怒鳥廠商Rovio是否幫助了他們（這也在討論中）。真正該學到的是各式各樣的行動設備和應用程式收集了比自身所需還要更多的資料，透過不明確的方式使用，用來做些大多數我們（如果不是全部）都不了解的事情。更重要的是，我們應該更進一步，討論即將到來的物聯網（IoT），這些問題在那時將變得更加嚴重。

隱私的兩個關鍵原則是告知資料收集以及同意。好的隱私做法依賴這兩個原則來幫助使用者清楚地了解哪些資料被收集，被拿來做什麼（告知），並選擇是否接受該產品或服務（同意）。對於需要同意的告知，清楚而能夠理解的資訊是必須的。不然我們就會面臨我稱為「噢！該死」的一刻：就像是「噢！該死！當我同意時，我不知道你會將拿到的資料這樣使用。」

當我們讀到關於美國國家安全局從行動設備和應用程式（包括但不限於憤怒鳥）收集資料的消息，它就像是一個大大的「噢！該死！」。根據The Guardian的故事：

根據使用者所提供和文件所指示的個人檔案資料，該單位幾乎能夠收集使用者生活的每個關鍵細節：包括母國、當前位置（通過地理位置）、年齡、性別、郵政號碼、婚姻狀況（有「單身」、「已婚」、「離婚」、「可換偶」及其他更多選項）、收入、種族、性取向、教育程度和子女數量。

這份報告明確指出這些資料並非來自系統內的惡意軟體：它來自使用者自己願意安裝的這些表面上合法的應用程式。也就是說，這些使用者已經同意這樣的資料收集。然而，幾乎每個讀到這列表的人都感到衝擊和驚訝。為什麼呢？

這有兩個原因。首先，告知並不清楚。其次，很明顯地，行動設備和應用程式收集了比它們所需還要更多的資料。而且這次的事件顯示出這些資料並沒有被好好的保護，因為美國國家安全局聲稱收集到該資料是因為它被「外洩」了。

清楚告知是長久以來業界的一個問題。人們知道這是個問題：最近一項微軟的研究顯示，人們對於讀取隱私政策感到無奈。但到目前為止，人們還是會接受並不清楚的狀況，最後都會按下同意（只有25％的人在研究中表示自己會閱讀隱私聲明）。不過雖然明確告知的問題在過去的PC時代可能被接受，在行動時代，因為現在能夠收集到的資料數量和類型，讓這成為更加嚴重的問題。

行動設備將我們自身實體和網路結合的更加緊密。就其本質而言，它們可以收集比電腦還要更多關於我們是誰和我們正在做什麼的資料。而且行動設備和應用程式廠商對資料採取的做法是 – 「有問題時就收集它」，就如同現在這些事件所顯示的一樣。如果我們對於知道我們的行動設備和應用程式收集什麼資料而感到十分震驚，那它也代表告知的做法失敗。

應用程式所「外洩」資料的問題，就跟這裡所說的是非常普遍。在趨勢科技所分析的近600萬應用程式裡，有超過25％有某種形式的資料外洩。

當人們都專注在美國國家安全局是否應該去收集這些資料時，就忽略了更大的問題。不管他們有沒有或應不應該，還是會有其他機構，像政府機關、私人企業和非政府單位會為了自身目的而在我們一無所知下去收集資料。他們會這樣做是因為他們可以，是因為行動設備和應用程式廠商讓他們能夠這樣做。如果我們不喜歡聽到我們的資料被收集和使用，我們需要將討論這些資料收集放在第一位。繼續閱讀

450萬名Snapchat用戶的使用者名稱和電話號碼被曝光

2014 年 01 月 14 日2014 年 01 月 10 日趨勢科技 TrendMicro

趨勢科技全球安全研究副總裁 Rik Ferguson

在舊時代，一切都還是黑白分明的時候，如果有陌生人在街上接近你，跟你要通訊錄副本的話，你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候，資料本身數位化了，而且傳輸過程無形且無痛，讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕，這類服務的使用者最好將手機用在其長期被忽略的原本目的上，或許打電話給那些朋友們，甚至安排見個面（！）好親自聊聊你所發現很棒的新應用程式，而不是一股腦地將你的朋友賣掉。

超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch，SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。

「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上，也將公眾壓力帶給Snapchat，好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的，但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」

當然，這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內，各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條，這些都是應用程式本身的漏洞，在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點，該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。

這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢，發掘特定號碼是否存在 Snapchat 的資料庫內，並檢索與該號碼相關聯的其它資料，當然這號碼就是行動電話號碼。這次攻擊，再加上進一步的資料採礦（像透過社群媒體），可以輕易地建立出非常巨大的個人資料庫，用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞，GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊，而Snapchat DB證明了這一點。繼續閱讀