台灣抓漏小天使:個資外洩追蹤系統,比對姓名身分證字號是否在外洩清單

最後更新於 2020 年 07 月 07 日

國外有個相當知名的網站「Have I been pwned?」相信大家都聽過,這個網站收錄歷年來被駭客竊取、公佈在網路上的使用者個資,只要輸入你的 Email 就能搜尋自己的郵件地址是不是在外流名單,甚至後來還有「Pwned Passwords」收錄超過三億個外洩密碼,可檢查自己的密碼是不是被竊取過(還有出現次數)。去年 Mozilla 推出 Firefox Monitor 服務讓使用者訂閱通知,一旦有新的外洩事件發生就能立即得知自己的個資是否在受波及範圍。

這些服務主要都是掃描 Email、密碼等網路上會用到的個資項目,對台灣使用者來說,可能更想知道姓名、身分證字號或電話被洩漏的情形,本文要介紹「台灣抓漏小天使」就是針對台灣用戶推出的個資外洩追蹤系統,有點像 Have I been pwned? 的感覺,不過更側重於台灣發生的重大資安外洩事件。

在介紹這種和使用者隱私高度相關的服務時我都會特別小心,除了看一下網站開發背景和目的外,也要更深入了解運作方式等技術細節。

台灣抓漏小天使是一項教育部資訊安全人才培育計畫 108 年度新形態資安暑期課程專題競賽的產物,主要是開發者發現這幾年有大量個資外洩事件被揭露出來,但大多數機構並不會主動通知使用者個資外洩問題,因此想到利用單向去識別化方式幫助使用者確認自己是否在影響範圍,也希望台灣的資訊安全意識可以更進一步提升。

台灣抓漏小天使會將使用者的姓名、身分證字號以 SHA-1 雜湊函數去識別化後回傳主機,進行原始資料上的比對,因此原始資料並不會被識別出來,網站本身亦不會保存資料,只會以雜湊值進行資料諮詢(白話文就是你的個資會變成一段隨機字串,用這字串去比對資料庫外洩的個資內容)。

這個計畫為開放原始碼專案,網站完整原始碼可以在 GitHub 找到。

網站名稱:台灣抓漏小天使
網站鏈結:https://breach.tw/

使用教學

STEP 1

開啟「台灣抓漏小天使」網站後,請先確認一下網址列上網址是不是 breach.tw ,有沒有一個鎖頭符號(SSL),才能確保你的個資不會被其他偽造的網站竊取。

STEP 2

接著開啟「搜尋洩漏紀錄」功能,輸入要檢查的姓名、身分證字號,網站表示這些資料會先去識別化並回傳運算結果,不會直接傳送原始資料,如果不放心,可以點選「分次操作」版本,就能自己手動以演算法產生雜湊代碼,再傳送給台灣抓漏小天使進行查詢。

STEP 3

搜尋結果如果是綠色背景,表示個資目前尚未在大規模洩漏中找到,不過並不一定 100% 正確無誤,也可能只是還沒被網站找到而已。

若搜尋結果為紅色背景,代表在資料庫中發現你被洩漏的個資,也會顯示在那一事件、網站和洩漏的相關項目。點選「外洩事件列表 & 解釋」會有更多說明,網站收錄近幾年比較重大的個資外洩事件,不過僅會顯示 5000 筆以上的事件,一些較小的名單只會提供給使用者查詢而已,有興趣的話可以查看事件清單。

STEP 4

如果你想在未來知道自己的個資有沒有被外洩或竊取,可以考慮「訂閱外洩事件」,當你的資料出現在大規模個資外洩清單時就會以 Email 通知使用者。

值得一試的三個理由:

  1. 輸入姓名、身分證字號查詢自己的個資是否在資安事件外洩清單
  2. 可透過 Email 訂閱外洩事件,一旦發現個資外流就發送通知
  3. 開放原始碼專案,個資以雜湊函數去識別化後進行比對

 

相關的文章

Firefox Monitor 預設保護瀏覽器帳號,遭遇個資外洩事件發送 Email 警報通知

以往我們會透過「Have I been pwned?」檢查自己的 Email 有沒有在這資安事件外洩的受害名單,或是利用 Pwned Passwords 看看密碼有無被竊取,事實上這些網站的安全性沒有問題,不過可能很多人不願意將個資輸入這些網站查詢,因此去年開始 Mozilla 就推出 Firefox Monitor 服務,和幾個管道合作(當中也包含知名的 Have I beed pwned?)讓使用者將手邊 Email 加入監控,一旦發現電子郵件地址出現在資安事件洩漏的清單就會通知使用者。

Steam 帳號被盜怎麼辦?重設密碼並開啟 Steam Guard 兩步驟驗證防護

Steam 是目前全世界最大的電腦遊戲數位平台,對於喜歡 PC Games 的玩家來說一定不陌生,我也都在 Steam 購買遊戲,無論管理或日後下載遊戲都非常方便,當然這個平台也成為很多駭客覬覦的目標,如果你希望可以好好保護自己購買的遊戲,一定要做好安全防護設定。還好 Steam 本身就已經投入許多心力在降低各種風險,包括建議為帳號開啟「Steam Guard」保護就是兩步驟驗證,必須要同時擁有密碼和 Email 或手機 App 產生的驗證碼才能正確存取帳戶。

DotPass 利用手勢結合文字產生不同的密碼組合,支援 Mac、iOS 兩大平台

根據 Firefox Monitor 網站給使用者的安全說明,有提到「停止重複使用相同密碼」,這個意思就是不要在不同的網路服務使用相同的密碼組合,避免因其中一組密碼外洩而使其他帳號陷入危險,若要一次變更那麼多密碼也相當耗費時間。但我們又無法記住那麼多不同的密碼組合,這時候就必須借助密碼管理工具,例如 KeePass Password Safe,而我個人則偏好 Master Password 可以單一主密碼來計算並產生多種隨機密碼組合。

Checker Plus for Gmail 網頁版必備外掛,郵件通知不用開網頁就能收發信

平常在桌上型電腦都是使用「郵件」應用程式收發 Email ,但在 MacBook 筆電因為考慮到硬碟容量和電池續航力等問題,就會選擇透過瀏覽器以 Gmail 或其他網頁版服務收信,這麼長時間以來倒也沒什麼狀況發生,唯一不太方便的是無法很即時收到新郵件通知,特別是在一次擁有很多信箱的情況下(我想大家應該都會有工作和私人用的 Email 地址),如果你和我一樣,可以透過擴充功能改善類似情境。

Copy All Tab Urls 快速複製所有瀏覽器分頁標題和網址(Firefox 附加元件)

如果你習慣會在瀏覽器開很多分頁標籤,有時候也想整理一下這些網頁,比較土法煉鋼的作法是開另一個瀏覽器、手動把網站一個一個貼過去,或是乾脆利用 OneTab 將現有的分頁直接濃縮在另外一個頁面方便後續使用。除此之外,也有幫你輸出、備份瀏覽器所有分頁網址的工具,像是 Copy All Urls、TabInfoCopy 都很有用,只要點一下按鈕,就能快速將所有開啟的分頁網址通通複製、轉為文字格式。

回應