資安公司Zimperium zLabs最新研究發現，在針對近800款Android和iOS上的免費VPN應用程式進行分析後，許多App不僅無法保護用戶安全，反而使其暴露於嚴重的安全和隱私威脅。記者孫敬／編譯

資安公司Zimperium zLabs最新研究發現，在針對近800款Android和iOS上的免費VPN應用程式進行分析後，許多App不僅無法保護用戶安全，反而使其暴露於嚴重的安全和隱私威脅。

研究人員指出，這些應用程式中有一大部分存在極為危險的行為。部分App會直接洩露用戶的個人資料，而許多App根本未提供任何實質的隱私保護，最令人擔憂的是開發商使用了老舊且充滿漏洞的軟體元件。

延伸閱讀：Discord遭駭多筆使用者個資外洩！駭客聯盟揚言公開更多內部資料

[caption id="attachment_194636" align="aligncenter" width="1024"] 許多免費的VPN存在嚴重的資安漏洞。（圖／PureVPN）[/caption]

系統老舊，十年舊漏洞仍在App中流竄

攤開詳細的研究內容，有三款VPN應用程式仍在使用OpenSSL函式庫中過時的組件，導致暴露於Heartbleed 漏洞（CVE-2014-0160）。這個早在2014年就被揭露的重大缺陷，可能允許遠端駭客讀取用戶的敏感資訊，包括加密金鑰、使用者名稱和密碼等。

此外，大約有1%的應用程式易受中間人攻擊（Man-in-the-Middle, MitM）。這類攻擊能讓駭客在用戶與伺服器之間攔截並讀取所有網路流量，讓用戶的網路活動完全透明。研究人員強調，釋出帶有已知修復方法的十年老舊漏洞的 App，突顯了開發商在安全審查上的嚴重不足。

[caption id="attachment_194649" align="aligncenter" width="752"] VPN潛在的安全和隱私問題。（圖／Zimperium zLabs）[/caption]

權限濫用變數位竊聽器，App索取與職責無關的過高權限

除了軟體層面的安全漏洞外，這些免費VPN App也會要求過高的存取權限，又稱為「權限濫用（Permission Abuse）」現象。舉例來說，某些iOS VPN App竟要求「永遠開啟定位權限（LOCATION_ALWAYS）」，這與VPN僅負責加密網路流量的核心功能完全不符，明顯是用來24小時追蹤用戶的實際位置。

一些Android App則要求讀取所有系統日誌（READ_LOGS）的權限，這使App能夠建立完整的用戶行為檔案，形同一個「高階的鍵盤側錄程式（Sophisticated Keylogger）」。部分應用程式甚至索取麥克風存取權或執行介面螢幕截圖，讓App供應商擁有超過原需求的監控媒介。

研究人員對這些 App 的「缺乏透明度」表達了憂慮，用戶無法授權對資料的收集和處理方式。即使在蘋果（Apple）的App Store上，仍有25%的iOS VPN App缺少有效的隱私權清單（Privacy Manifest）。此外，超過6%的iOS App請求了「私有權利（Private Entitlements）」，這是一種能深入存取作業系統的強大權限，一般情況下不應提供給第三方開發商。

[caption id="attachment_194650" align="aligncenter" width="656"] iOS VPN應用程式中最常見的錯誤標籤案例。（圖／Zimperium zLabs）[/caption]

專家建議資安防禦應從網路邊界轉向內容層級

資安專家警告，對於允許員工使用個人設備處理公務的BYOD（帶自己的設備上班）政策公司而言，這些不安全的免費VPN將成為整個企業網路中最脆弱的一環，讓敏感的商業資料暴露於不必要的風險中。Menlo Security的資訊科技與安全總監Brandon Tarbet呼籲：「企業需要多層次的應對措施，端點可視性和管理是基本盤。但現今，對於網頁內容層級的資料安全需求正迅速成為一種必要條件。」

Tarbet表示，當傳統的網路邊界防護（如傳統VPN）很容易被破壞時，關鍵在於將安全思維從「邊界防禦」轉向「內容層級的保護」，確保無論用戶連接到哪個網站或服務，資料都能被有效保護。

資料來源：Hackread

這篇文章 免費VPN是資安陷阱？近800款App爆個資外洩危機 駭客恐輕鬆竊取密碼 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

Discord 於10月3日發布官方更新，解釋這次攻擊是由於外部客戶服務供應商（外界推測為Zendesk）的系統遭到駭客入侵，攻擊者成功獲得儲存敏感客戶資料的支援人員工單佇列（ticket queue）的未授權存取權。記者孫敬／編譯

知名通訊平台Discord近日卻證實發生一起資安事件，導致「有限數量的用戶」個人資訊遭到外洩。Discord 於10月3日發布官方更新，解釋這次攻擊是由於外部客戶服務供應商（外界推測為Zendesk）的系統遭到駭客入侵，攻擊者成功獲得儲存敏感客戶資料的支援人員工單佇列（ticket queue）的未授權存取權。Discord強調，自家主要系統並未受到直接侵害，但調查人員發現，駭客的首要目標是向Discord勒索贖金。

延伸閱讀：不只看台積電！宏碁董事長揭PC品牌營運成本將因英特爾、輝達合作提高

[caption id="attachment_194616" align="aligncenter" width="1280"] Discord這次面臨了嚴重的駭客聯盟威脅。（圖／No Text To Speech）[/caption]

Discord協力廠商淪為破口 國籍證件、敏感個資全曝光

這次資安事件所暴露的數據，僅限於近期曾聯繫Discord客服或信任與安全團隊的用戶，包括用戶的姓名、Discord使用者名稱、電子郵件地址和其他聯絡資訊，以及與客服人員交換的實際訊息內容。此外，駭客也存取了有限的帳單細節，特別是付款方式和信用卡號的末四碼。

同時，攻擊者還取得了少量由用戶為進行年齡驗證上訴而提交的政府核發身份證件圖像，例如駕照或護照。這些高風險文件的大量外洩，顯著增加了受影響個體面臨身份盜用的風險。

在發現遭到攻擊後，Discord立即撤銷該客服公司對工單系統的存取權限，並啟動了內部調查，聘請了知名的電腦鑑識公司協助處理修復工作，並配合執法單位進行調查。Discord證實已通知相關的資料保護機構。雖然Discord明確指出哪些數據被竊取，但對於攻擊的範圍、供應商名稱、受影響用戶的數量以及洩露持續時間等關鍵細節，該公司則選擇保持緘默。

目前，Discord已透過官方電子郵件通知受影響用戶，但大量的通知郵件，也引發社群內用戶對於郵件真實性的擔憂，凸顯了不法分子發動網路釣魚（Phishing）攻擊的風險。不過Discord已向用戶保證，完整的信用卡號、密碼以及平台上的私人訊息並未遭到存取。

駭客組織「Scattered Lapsus$ Hunters」坦承犯案

儘管撰寫本文時，尚不清楚幕後主使者是誰，但名為「Scattered Lapsus$ Hunters」的駭客聯盟（內含Scattered Spider、Lapsu$和ShinyHunters的駭客集團們）已出面承認對這次網路攻擊。

該組織在Telegram上分享了螢幕截圖，似乎顯示他們取得了Discord內部工具的存取權，包括資料隱私儀表板（Data privacy dashboards）和管理資源，並附帶嘲諷Discord公司的訊息。駭客組織在貼文中不屑一顧地表示，Discord採取的安全措施，例如禁用Okta和Kolide登入，並不能阻止進一步的入侵，並透露了所謂的內部網路名稱「SLHM」，同時威脅將在「數據洩露網站」（Data Leak Site, DLS）上發布更多竊取的資料。

據資安媒體Hackread.com報導，DLS是Scattered LAPSUS$ Hunters創建的公開平台，用於展示聲稱竊取的數據，該組織曾宣稱在此平台出售Salesforce洩露的十億筆記錄。透過這種方式，DLS不僅作為洩露檔案的存檔，更是一種施壓工具，迫使目標公司曝光並加劇對攻擊者要求的關注。

然而，這已不是Discord 第一次陷入資安泥淖，該平台在2025年中旬曾遭到威脅行為者冒充平台分發Epsilon Red勒索軟體，隨後又在同年八月發生一起利用Discord內容傳遞網路（CDN）進行的惡意軟體攻擊。

資料來源：Hackread

這篇文章 Discord遭駭多筆使用者個資外洩！駭客聯盟揚言公開更多內部資料 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

美國舊金山聯邦法院陪審團，3日裁定Google必須支付高達4.25億美元（約新台幣129億元）的賠償金。記者孫敬／編譯

美國舊金山聯邦法院陪審團，3日裁定Google必須支付高達4.25億美元（約新台幣129億元）的賠償金。原告用戶指控，即使他們在帳戶中關閉了「網頁與應用程式活動」設定，但Google仍透過Uber、Venmo和Meta旗下Instagram等應用程式，持續在用戶的行動裝置上蒐集、儲存並使用其個人數據。

延伸閱讀：你是那條被釣的魚嗎？駭客藉過期合法網域「改造」成賭博網站

[caption id="attachment_154891" align="aligncenter" width="1200"] Google回應對這項裁決將會繼續上訴。（圖／科技島資料照）[/caption]

Google裁決與後續，鉅額賠償背後的意義

這場牽涉9800萬名Google用戶；1.74億台裝置的集體訴訟，最初由用戶在2020年7月提起，並求償超過310億美元。Google解釋這些蒐集的數據屬於「非個人、假名化」的資料，並儲存在隔離、安全且加密的位置，不會與任何個別用戶的Google帳戶或身份產生關聯。

陪審團最終裁定Google在原告提出的三項隱私侵權主張中，有兩項成立，不過陪審團並未認定Google是惡意行事，這也意味著原告無法獲得懲罰性賠償。

對於這項判決，Google發言人卡斯塔涅達（Jose Castaneda）表示公司計畫提出上訴。「這項裁決誤解了我們產品的運作方式。」卡斯塔涅達說道。「我們的隱私工具讓用戶得以控制自己的數據，當他們關閉個人化設定時，我們始終尊重這項選擇。」

與此同時，代表用戶的律師博伊斯（David Boies）在一份聲明中表示，他們對陪審團的裁決非常滿意。

事實上，這並非Google首次捲入隱私權官司。今年稍早，Google才因違反德州隱私法規，支付了近14億美元的罰款。此外，今年4月，Google也同意銷毀數十億筆用戶的私人瀏覽紀錄，以解決一起指控追蹤用戶「無痕模式」瀏覽行為的訴訟。

資料來源：Reuters

這篇文章 用戶隱私疑慮？Google藉Uber、Meta等APP蒐集個資遭重罰4.25億美元 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

近日Google同意支付3,000萬美元（約新台幣9.08億元），以和解一起指控Google旗下的YouTube在未經家長同意的情況下，違法蒐集兒童的個人資訊，並用於發送定向廣告（Targeted Advertising）。記者孫敬／編譯

近日Google同意支付3,000萬美元（約新台幣9.08億元），以和解一起指控Google旗下的YouTube在未經家長同意的情況下，違法蒐集兒童的個人資訊，並用於發送定向廣告（Targeted Advertising）。這項初步和解協議已於本週一（美國時間）向加州聖荷西聯邦法院提交，尚待美國地方法官庫倫（Susan van Keulen）的批准。

延伸閱讀：微軟8月Windows更新釀災 「重設電腦」功能全面失效

[caption id="attachment_113145" align="aligncenter" width="1200"] Google這次因為兒童個資用於廣告被告上法院。（圖／科技島資料照）[/caption]

Google在2019年裁罰後故態復萌，內容供應商暫脫身

這起訴訟的原告方為34名兒童的家長或監護人，他們指控Google在2019年達成和解協議後，仍然持續讓內容供應商透過卡通、童謠等內容來誘使兒童，藉此蒐集個人資訊。

早在2019年，Google就曾因類似指控，與美國聯邦貿易委員會（FTC）及紐約州檢察長詹樂霞（Letitia James）達成和解，當時Google 支付了1.7億美元的罰款，並承諾改變部分營運做法，但一些反對人士認為，那次的罰款過於寬鬆。

值得注意的是，這起訴訟原本也將內容供應商如孩之寶（Hasbro）、美泰兒（Mattel）、卡通頻道（Cartoon Network）和夢工廠動畫（DreamWorks Animation）列為被告，然而庫倫在今年1月駁回了對這些公司的指控，理由是缺乏證據證明他們與Google的資料蒐集行為有關聯。

YouTube約3500萬名用戶恐受影響，每人可獲數十美元賠償

在法官駁回對內容供應商的指控後，雙方於隔月開始進行調解，最終達成了這次的和解協議。這項集體訴訟涵蓋了在2013年7月1日至2020年4月1日期間，觀看YouTube的美國13歲以下兒童。

原告律師指出，這起訴訟的集體成員可能高達 3500萬至4500萬人。根據過去類似案件的經驗，如果索賠率達到1%至2%，每位索賠者在扣除律師費和相關成本後，有望獲得30至60美元（約新台幣900至1800元）的賠償。

律師團隊也計劃從這筆和解金中，申請最高900萬美元（約新台幣2.72億元）作為法律費用。值得一提的是，Google的母公司Alphabet在2025年上半年營收高達1867億美元，淨利潤為627億美元。

資料來源：Reuters

這篇文章 侵犯兒童個資再被罰！Google支付3千萬美元 和解YouTube兒童個資官司 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

Meta和Yandex被揭露，悄悄接收來自數百萬個網站上嵌入的Meta Pixel或Yandex Metrica追蹤碼所傳送的瀏覽器數據、Cookie及指令。記者孫敬／編譯

社群媒體龍頭Meta和俄羅斯科技公司Yandex，被揭露曾透過安卓（Android）系統監聽「本機通訊埠」（localhost sockets）方式，在使用者毫無察覺的情況下，建立瀏覽器跟原生APP間的身分橋接，悄悄接收來自數百萬個網站上嵌入的Meta Pixel或Yandex Metrica追蹤碼所傳送的瀏覽器數據、Cookie及指令，巧妙繞過傳統的隱私保護措施，侵害行動裝置使用者的個人資料安全和隱私。

延伸閱讀：Chrome擴充功能潛藏資安陷阱！受影響的範圍一次看

[caption id="attachment_121509" align="aligncenter" width="1200"] Meta跟Yandex被發現偷偷蒐集使用者個資。（圖／科技島圖庫）[/caption]

大揭秘：Meta與Yandex曾利用安卓系統漏洞，秘密追蹤數十億使用者

據了解，這種追蹤機制之所以能得逞，在於臉書與Instagram以及Yandex旗下的應用程式，會在背景持續監聽特定本地端的通訊埠，當Meta Pixel或Yandex Metrica的追蹤碼網站被開啟時，JavaScript程式碼會將使用者的第一方瀏覽行為跟身分資訊（Cookie），悄悄發送到安卓應用程式在本地埠口的監聽器，這種數據流向對於Chrome的開發者工具等標準瀏覽器除錯工具來說，不論是使用者還是資安研究人員都難以發覺。

根據BuiltWith的數據，Meta Pixel被嵌入超過580萬個網站中，使得_fbp這類第一方Cookie成為網路中第三常見的Cookie。研究人員對全球排名前10萬的網站進行爬取後發現，僅在美國就有17,223個網站、歐盟有15,677個網站試圖進行本地端通訊，其中約75-78%的網站是在使用者未明確同意的情況下觸發了這種行為。

這種追蹤方法有效地規避了既有的隱私保護措施，包括清除Cookie、無痕模式，甚至安卓系統的權限控制。即使是那些在手機瀏覽器上未登入臉書或Instagram的使用者，也可能透過安卓廣告ID（AAID）的橋接機制被追蹤。

在資安人員向瀏覽器服務業者回報這項問題後，Google Chrome已於2025年5月26日發布的137版本中，將受濫用的埠口禁用Meta Pixel使用的特定SDP Munging技術。Firefox瀏覽器在139版本中也引入了類似的埠口阻擋措施，而DuckDuckGo和Brave等注重隱私的瀏覽器，早已建立本地端通訊保護機制。

Meta已於2025年6月3日左右停止了這項做法，其Facebook Pixel腳本不再向本地主機發送封包，相關程式碼也幾乎被完全移除。Yandex也在被揭露後，停止了地端通訊的追蹤操作。

資料來源：《Cyber Security News》、《iThome》

這篇文章 Meta和Yandex遭揭露監聽本機通訊埠 使用者個資、隱私全外流 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

為避免民眾於消費過程、申辦業務時，無意間洩漏個資，數位發展部於2024到2027年推出「數位皮夾（Digital Identity Wallet）」，提供額外數位驗證管道證明身分，可以收納包括身分證、自然人憑證、健保卡等證件，未來只要帶手機出門，形同攜帶裝有實體證件的皮夾，預計今年下半年釋出公測版本。為避免民眾於消費過程、申辦業務時，無意間洩漏個資，數位發展部於2024到2027年推出「數位皮夾（Digital Identity Wallet）」，提供額外數位驗證管道證明身分，可以收納包括身分證、自然人憑證、健保卡等證件，未來只要帶手機出門，形同攜帶裝有實體證件的皮夾，預計今年下半年釋出公測版本。

[caption id="attachment_159890" align="alignnone" width="1200"] 手機就是證件！數發部今年將推出數位皮夾，未來只要帶手機出門，就能證明並出示身分。（圖／123RF）[/caption]

數位皮夾是什麼？

數發部在2023年提出「數位皮夾」的概念（全名為分散式數位身分認證與授權系統），並成為「數位創新關鍵基礎建設計畫」的一環，用於日常數位生活的分散式身分系統，核心的2項功能為認證與授權。

數發部提到，如同現實生活，人們可以將自然人憑證、員工證、信用卡、集點卡放進皮夾，數位生活也需要一個皮夾，用於「證明你是誰」與「讓你授權他人」等目的。個人，或是各式公私部門等單位，都可以將自己的憑證放進皮夾，這些證件可以是自然人憑證、信箱帳號、學歷證書等公務用證件，也可以是會員卡、入場券等娛樂需求的兌換券。

延伸閱讀：數位皮夾拚2025年上路！數發部展示功能雛型、免帶證件出門

為何需要數位皮夾？

在實體世界，政府發放身分證，是證明「身分」的一種方式；人們可以透過身分證，證明自己滿18歲可以買酒，但這樣的出示方式，被迫連帶洩露姓名、出生日期、身分證字號、戶籍地址等其它個人資訊。這是因為身分證上有許多資訊，且無法有效遮蔽。

數發部指出，同樣的情境出現在數位世界，風險將大幅提高，因為洩露資料將以電子形式快速流竄，更易於被有心人士蒐集再利用，因此數位身分，必須比現實世界更加謹慎。

數發部表示，數位皮夾的特點是「可驗證憑證」與「資訊最小揭露原則」，民眾知情同意後，才會授權第三方業者查驗皮夾內的身分資訊，且只能取得業務需要的特定資料，沒辦法看到完整內容。

如某機關僅需驗證民眾的姓名與身分證字號，就不會出現父母名字、戶籍地址等資訊，以避免曝露過多其他個人隱私資料，也能防止過去複印紙本時，第三方取得不必要個資，還需負擔資料管理責任，甚至面對被駭、竊取資料的風險。

數位皮夾和數位身分證有何不同？

政府原本預計在2020年10月，全面換發數位身分識別證（New eID），取代使用多年的紙本國民身分證，New eID可隨手取用各項政府的個人化數位服務，並達成免臨櫃、免奔波、免提書證、免填寫、不受時空環境限制，可隨時辦理業務等服務，卻因新冠肺炎疫情延後，再加上外界擔憂資安風險、隱私保護疑慮等，被迫喊停。

數發部指出，數位皮夾不會發行集中式的數位國民身分，而是藉由各界（事業、機關、團體及自然人）所發行的各式證件，來建構國人日常的事實身分，完成所須的基本數位身分服務，達到「個人身分自主，資料授權自決」目的。

數發部強調，數位皮夾就像實體皮夾的容器，本身不會發行任何身分證明，民眾可自行決定安裝哪些證件，更完全沒有強制使用，同時，卡片驗證功能也要獲得民眾同意且授權後，才能進行後續服務，另外，也可以隨時取消介接，藉此消除授權資料範圍界定或侵犯隱私等疑慮。

[caption id="attachment_159891" align="alignnone" width="1912"] 義大利率先推出數位證件App「It-Wallet」，不必擔心忘了帶實體證件出門。（圖／It-Wallet官網）[/caption]

國外推行狀況？

歐盟通過實施「歐洲數位身份架構」，要求歐盟成員國家在2026年前，提供歐盟公民免費的「歐盟數位身份皮夾」（EU Digital Identity Wallets）。

義大利率先完成駕照、健保卡、殘疾傷病卡的數位化工作，2024年10月開放5萬名義大利公民試用數位證件App「It-Wallet」，2024年12月4日起向所有義大利公民開放，普及後，遇到警察攔檢或急診就醫，只需出示手機App內的數位證件，不必擔心忘了帶實體證件出門。

美國加州政府車輛管理局2023年試辦行動駕照（Mobile Driver's License，mDL）計畫，民眾可將加州的駕照或ID卡註冊到Wallet App後，使用mDL登入加州車輛管理局線上服務，或在舊金山或洛杉磯等美國機場的TSA安檢區快速查驗身分；若要購買酒精類飲料或出入娛樂場所，也能出示Wallet App，供業者查驗年齡是否符合資格；且駕照不只能存放在官方Wallet App，也能放進Apple Wallet或Google Wallet。

[caption id="attachment_159892" align="alignnone" width="1567"] 數發部在資訊月策劃「數位公共基礎建設願景館」，運用數位皮夾的驗證功能，串連願景館各項主題，讓參訪民眾得以體驗個人掌握數位自主。（圖／數發部提供）[/caption]

台灣2025年下半年釋出公測版本

數位皮夾計畫推動時程為2024年到2027年，約2億元的系統建置預算，主系統建置由中華電信得標，數發部已和經濟部、內政部、衛福部等部會，討論內部系統如何產生憑證、並與數位皮夾介接，預計今年6月完成內部測試，下半年釋出公測版本。

數發部於2024年12月展示數位皮夾App的頁面雛形，讓外界一窺使用情境。如剛畢業的學生需要畢業證書或學位證明，以往學校是開立紙本證書，等數位皮夾上線後，學校就能透過發行端介面製作數位皮夾的卡片，畢業生只要點入連結，開啟手機上的數位皮夾App，通過身分驗證後，就能將畢業或學位證明卡片加入數位皮夾。

數發部指出，未來依使用情境不同，除了點選連結加入卡片，也能掃描加入新卡片，民眾可以在數位皮夾App裡，檢視所有加入的卡片；求職時，可以出示數位皮夾的學歷證明、語言證明等卡片，給企業驗證，且能設定僅提供姓名、測驗分數等部分資訊即可，更具有隱私。

數發部說，未來我國的數位皮夾開源之後，不只能將證件卡片放進數位皮夾，還可以將數位皮夾的身分驗證機制，嵌入企業既有的服務系統，讓民眾享有電子支付與個人身分驗證相關的服務。

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台

這篇文章 未來手機就是證件 「數位皮夾」是什麼、台灣何時上路？ 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

為強化教育單位的資安及個資防護意識，教育部委由國立成功大學建構「教育網站資安弱點掃描防護服務計畫」，提供教育單位相關的網站進行「弱點掃描」及「個資掃描」服務。經由網站及系統弱點掃描服務，能更了解自身網站整體的資安防護情況；經由個資掃描服務，提供教育單位自行安裝個資掃描引擎，針對網站目錄內的檔案進行掃描，協助網站管理者找出存留於網站的個資檔案，以強化個資管理及安全。

記者／李琦瑋

為強化教育單位的資安及個資防護意識，教育部委由國立成功大學建構「教育網站資安弱點掃描防護服務計畫」，提供教育單位相關的網站進行「弱點掃描」及「個資掃描」服務。經由網站及系統弱點掃描服務，能更了解自身網站整體的資安防護情況；經由個資掃描服務，提供教育單位自行安裝個資掃描引擎，針對網站目錄內的檔案進行掃描，協助網站管理者找出存留於網站的個資檔案，以強化個資管理及安全。

根據教育網站資安弱點掃描防護服務計畫統計數據顯示，未經清查個資或含有大量舊資料的網站是個資外洩的高危險群，且過去人員對於個資防護的意識較為薄弱，網站目錄內可能存放許多無人控管的個資檔案，網站管理者應定期清查盤點。

延伸閱讀：趨勢科技攜手GMI Cloud 強化AI環境資安措施

教育部指出，但人工清查盤點數十萬筆檔案，必定耗費數個月的時間及人力，透過教育部提供的檔案型個資掃描服務，僅需耗費數小時至數天即可完成掃描，並識別檔案風險，使網站管理者可優先處理中風險以上的檔案，讓盤點變得更快速簡單，減少時間及人力成本，並強化網站的個資安全。

教育部表示，建置專屬於教育單位的個資掃描方案，是以促進台灣學術網路的資訊安全為目標，除了上述盤點機制外，亦需輔以人員的教育訓練及宣導，包含應建立公布資料前的審查機制，如資料蒐集最小化、個資去識別化、移除或加密含機敏個資的檔案等；若為必要公開的個人資料，則需將資料遮罩、檔案加密、或權限控管後再公布，以降低個資外洩風險。期望透過教育部的宣導，持續強化教育單位網站個資安全，精進個資防護機制。

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 強化教育網站資安 教育部提供學術網路個資掃描服務 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 知名英國運動品牌JD Sports發出警告，大約1,000萬名客戶的個資可能因最近一次的網路攻擊 …

編譯／鄭智懷

知名英國運動品牌JD Sports發出警告，大約1,000萬名客戶的個資可能因最近一次的網路攻擊外洩；旗下六個運動時尚和戶外服裝店品牌JD、Size?、Millets、Blacks、Scotts 和 MilletSport都受到本次攻擊事件影響。

該公司在倫敦證券交易所（LSE）的公開通知表示，外洩的資料包含2018 年 11 月至 2020 年 10 月期間線上訂購商品的客戶姓名、帳單地址、送貨地址、電子信箱地址、電話號碼、訂單內容與支付卡後四碼。

不過，JD Sports指出，「受影響的數據有限」，「公司並未擁有完整支付卡數據，並且沒有任何理由相信帳戶密碼被存取。」

該公司在通知中表示已經採取任何必要措施，包括與第三方資安專家合作，展開對攻擊事件的調查和因應；同時，業已通報相關政府部門，例如英國資訊專員辦公室（ICO）。

JD Sports也警告客戶要慎防攻擊事件衍生的詐騙和網路釣魚攻擊風險，特別是「留意任何自稱JD Sports或我們任何集團品牌的可疑或異常通知」。

JD Sports財務長 Neil Greenhalgh公開向客戶致歉，並且建議客戶「對可能發生的電子郵件、電話和簡訊詐騙保持警惕，並提供相關詳細訊息。Neil Greenhalgh補充說：「在此事件發生後，我們將繼續與外部專家合作，針對我們的網路安全進行全面審查。保護我們客戶的數據是JD Sports的絕對優先事項。」

而對於JD Sports的在本次攻擊事件的危機處理，資安專家質疑JD Sports的公開發言可能導致進一步的資安與詐騙危機，應該避免淡化客戶資料洩露的重要性。Neil Greenhalgh在面對媒體的詢問時也承認公司的聲明與媒體對本事件的報導可能助長犯罪者的行動，並預測未來可能有更多攻擊行動。

資料來源：London Stock Exchange、Dark Reading

這篇文章 <a>英國運動用品商JD Sports</a>遭駭  千萬名客戶資料外洩 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 《衛報》（The Guardian）在本周稍早證實，2022年12月的勒索攻擊事件中，部分英國員 …

編譯／鄭智懷

《衛報》（The Guardian）在本周稍早證實，2022年12月的勒索攻擊事件中，部分英國員工的個資被攻擊者存取，但是尚未出現在網路上洩露的消息。該媒體自攻擊事件後，多數員工轉為居家工作模式，線上與實體報紙出刊作業仍然維持正常運作。

衛報指出，除了英國員工之外，美國與澳洲員工的數據並未被攻擊者存取；讀者與訂閱者的個人資料也沒有出現被存取的跡象。

該媒體執行長Anna Bateson和總編輯Katharine Viner在寄給員工的信件中指出，本起攻擊事件屬於勒索攻擊的網路犯罪行動，並非針對《衛報》。「類似的攻擊在過去三年越加頻繁和複雜，鎖定各個國家所有規模和類型的組織。」兩人在信中補充道：「截至目前為止，我們還沒有看到任何數據在網上洩露的證據，我們將保持密切的關注。」

報導指出，《衛報》自去年12月發生攻擊事件以來，一直聘請資安廠商評估攻擊行動影響的範圍，並協助恢復系統。雖然部分關鍵設施預計在未來兩周內陸續恢復運作，但是，為了讓資訊部門持續專注網路與系統的修復工作，該媒體要求其他員工繼續居家工作至2022年2月初。

根據英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media and Sport）最新資安報告指出，超過四成的英國企業在過去一年通報出現網路安全漏洞或遭到網路攻擊。儘管遭受攻擊或出現漏洞的企業數量與往年持平，不過，統計數據顯示遭受網路攻擊頻率卻不斷增加。

資料來源：The Guardian

這篇文章 衛報證實遭勒索  員工個資恐遭竊取 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

現在人手機幾乎不離身，且隨著智慧型手機的功能越來越多，許多人為了方便會將個人資訊存在手機上，像是銀行帳號、信用 …

現在人手機幾乎不離身，且隨著智慧型手機的功能越來越多，許多人為了方便會將個人資訊存在手機上，像是銀行帳號、信用卡卡號資訊等，稍有不慎萬一手機遭到有心人士入侵，可能就會造成財務損失。根據英國資安公司Comparitech的資訊顯示，安卓手機的使用者常犯一項錯誤，讓個資暴露在危險之中。

手機品牌大多會定時推出更新版本，除了會有新個功能推出之外，也會針對安全性進行更新，來填補手機漏洞。不過，根據Comparitech的專家表示，手機爆發安全漏洞的事件層出不窮，尤其是安卓手機更應該讓手機維持在最新的系統版本，可是安卓手機使用者最常犯的錯誤之一，就是沒有保持更新手機，很容易讓駭客有機可趁。

其實Google、三星等安卓系統大廠都很重視安全性，都會定期推出更新、修復系統漏洞，不過許多用戶都擔心更新後可能造成手機卡頓等情形，而不願意進行系統更新，駭客就會利用這一點，入侵舊版本系統上的漏洞，竊取用戶資訊，因此資安專家建議，一旦手機有釋出更新版本，建議使用者立刻安裝是最保險的做法。

若是不確定自己的手機是否擁有更新版本，可前往設定中的軟體更新功能檢查，或是專門檢查是否有安全更新，只要在設定裡面找到「安全選項」，然後點擊Google安全檢查，也可以知道是否擁有最新更新。另外，如果手機已經老舊到無法再接收更新，也建議適時汰換手機。（記者／竹二）

這篇文章 安卓用戶要小心　資安專家：這項錯誤讓手機容易被駭 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。