內容取自台北大學通識許智超老師開設的媒體Line社群,分享已經過同意。
這幾天很多人討論 LINE 被盜。一開始看到時,我的直覺其實跟大多數人一樣——是不是有人點了奇怪連結,或是帳密外洩。但後來整理整個事件脈絡,才發現一件有點反直覺的事:這次的問題,可能跟「密碼」沒有直接關係。
目前比較多的說法是,有人利用 LINE 的語音驗證流程,在拿不到簡訊驗證碼時,改用「語音播報」...如果電話沒有接到,驗證碼就會進入語音信箱,而某些用戶的語音信箱,過去存在預設密碼,或是沒有特別設定過。「這讓驗證碼有機會被第三方取得。」
也因為這樣,電信業者已經開始調整相關機制。例如台灣大哥大已宣布取消語音信箱預設密碼,並要求用戶設定個人密碼。這件事讓我重新想了一個問題:我們在談帳號安全時,通常會想到「密碼強不強」、「有沒有開雙重驗證」。但這次事件更像是在提醒:真正的風險,有時候不在你「設定了什麼」,而是在你「從來沒注意過什麼」。
語音信箱就是一個很典型的例子。它不是新功能,也不是漏洞工具,只是長期存在、但被忽略的系統一部分。直到某一天,它剛好被串進了一個新的使用情境。對我來說,這件事的重點不只是資安,而是我們與數位工具之間的關係。
我們以為自己在「使用工具」,但其實很多時候,是在使用一整個系統。而這個系統裡,總會有一些你沒有真正理解、但依然持續運作的部分。問題從來不是它存在,而是你不知道它存在。
