付費限定方格精選
日本LINE遭爆資安漏洞?新聞事件背後那些有說沒說的細節懶人包
閱讀時間約 13 分鐘
本月 17號,《朝日新聞》獨家報導(1, 2, 3)指出LINE在中國的相關企業至少有 4名中國籍技術人員曾無故入侵日本國內用戶資料庫 32次,造成日本政府與民眾的一陣恐慌,擔心LINE的資安管理出現問題。
根據LINE的官方說法,本次事件並非個資外流事件,而是LINE內部強化公司內部個資保管程序時,所發現的資安漏洞。曾無故進入日本用戶資料庫的中國籍技術人員,為LINE的分公司與接受LINE分公司委託的公司員工,按照當時LINE內部的作業規範,他們確實具有進出日本用戶資料庫的權限。在LINE發現這個漏洞時,早已在今年 2月封鎖中國公司的日本用戶資料庫取得權限。
所以本次事件並非個資外流(外流到其他無關LINE業務的他人手中),而是LINE公司內部經營上的問題。之所以會這麼說,是因為這次之所以會發現漏洞,和LINE公司內部的經營整合與日本近期修改《個資法》有關。
出包地點剛好都在中國・大連
本次事件的問題出在LINE子公司LINE Plus Corporation在中國大連的子公司「上海連世數字技術有限公司大連分公司(Digital Technology (Shanghai) Limited(大連)」,以及接受LINE Fukuoka委託的一間剛好也位在中國大連的中國公司。
上海連世數字技術有限公司大連分公司
上海連世數字技術有限公司大連分公司的業務,主要是負責:①開發LINE公司內部用的小工具、② AI人工智慧、③ LINE應用程式內部的功能。本次因應LINE內部強化資安層級,LINE已取消了上海連世數字技術有限公司大連分公司開發業務取得下述資訊的權限:
- LINE搜查機關相關業務人員用的CMS內容管理系統開發權限(content management system, CMS)
→ 該系統在用戶檢舉訊息後,為了要通報搜查機關,會存放檢舉訊息的用戶姓名、電話號碼、e-mail、LINE帳號及檢舉的訊息內容。關於這部分細節可以參考這裡 - LINE審查業務人員用的CMS內容管理系統開發權限(用戶檢舉訊息等內容後,負責確認這些內容是否違反使用者條款)
- 客服信箱的開發權限(姓名、電話、e-mail)
- LINE虛擬人像功能、LINE應用程式內OCR光學文字辨識功能的開發權限(同意使用LINE虛擬人像功能,即同意LINE公司內部使用用戶上傳的大頭照)
- KEEP功能的開發權限(用戶使用KEEP功能時,存放在LINE雲端硬碟的文字訊息、照片、影片、檔案)
委託中國公司協助業務的LINE Fukuoka(福岡)
至於LINE Fukuoka委託的中國公司(沒有公佈公司名稱,只知同樣位在大連,是日本知名業務代理集團在中國成立的公司),沒有取得日本用戶資料庫的權限,但是可以接觸到檢舉訊息的用戶資料。
LINE Fukuoka的業務主要是負責審查用戶檢舉的訊息內容,LINE Fukuoka委託中國公司的業務,也是協助審查用戶檢舉的訊息內容。根據LINE的說法,如果是日本用戶的加密訊息遭檢舉,是由LINE Fukuoka負責審查;但如果是非加密訊息,或是貼文串等公開內容,則由LINE Fukuoka和LINE Fukuoka委託的這間中國公司共同審查。根據LINE的說法,LINE Fukuoka委託的這間中國公司負責的業務,一天需要處理約 1萬8,000件遭檢舉的貼文串內容、約 7萬4,000件遭檢舉的非加密訊息。
LINE表示,如果是LINE@官方帳號的內容(包含:群發訊息、貼文串和主頁,不含:一對一聊天內容、透過API的對話內容、用戶回應chatbot機器人的回答),一律是由LINE Fukuoka負責監控/審查。
LINE在中國還有NAVER China(北京世聯互動網路有限公司)
LINE也強調,LINE在北京還有NAVER Corporation在中國成立法人的「北京世聯互動網路有限公司(NAVER China)」,NAVER China無法取得日本、台灣、泰國和印尼用戶的資料,NAVER China只負責審查這 4個國家以外的用戶資訊。
時間點撞Yahoo! Japan和LINE經營整合不是意外
Yahoo! Japan和LINE在 2019年11月宣布要整合,並於今年 3月1日完成經營整合,成立日本超大型IT企業Zホールディングス(Z Holding, ZHD)。本次事件爆發,就是在Yahoo! Japan和LINE經營整合的脈絡下,LINE委託資安專家來調查LINE內部的資安狀況,才發現了這個漏洞。
也因此,LINE才會在 17號新聞爆出時,就表示這件事情早已在 2月(也就是Yahoo! Japan和LINE完成整併之前)就處理完畢,強調自己在 2月底前發現問題時,就已經撤銷中國籍技術人員取得日本用戶資料庫的權限。LINE這番說詞,其實同時也是向合作夥伴Yahoo! Japan喊話,強調自己在雙邊經營整合前,就已經處理好這個問題了。
從LINE的角度來看,本次事件並非個資外流事件,而是LINE修改公司內部的用戶隱私政策,強化可以取得用戶權限的工作人員層級,所以才會刪除原本可以取得日本用戶個資的中國籍技術人員權限。這件事情可以只是LINE公司內部的規範,本無須特別向用戶說明。但正因為《朝日新聞》的獨家報導,將此事公諸於世,再加上LINE在日本的普及率之廣,不只民眾、就連日本政府單位也很常和LINE合作推出線上便民服務,才會讓日本全國一夕間繃緊神經,擔心LINE出現資安漏洞。
將於明年上路的日本新版個資法衝擊到LINE
此外,日本將於明年 4月上路的新版《個人情報保護法》 規定,企業如果要將用戶的個人資料存放在他國,必須要明確地告知用戶伺服器所在國。LINE作為亞洲的大型電子跨國企業,除了用戶遍佈東亞各國,LINE在日本、韓國、台灣、泰國、中國、印尼與越南都有據點,負責存放用戶資料。
日本用戶的資料存放地
以LINE日本用戶的資料庫為例,日本用戶的個人資料主要存放在LINE在日本和韓國的伺服器。兩邊資料庫所存放的內容如下:
- LINE的日本伺服器:
對話紀錄、LINE帳號、電話號碼、電子郵件、LINE好友關係、好友名單、位置資訊、通訊錄、LINE Profile+(LINE的個人頁面,含姓名、住址等資料)、語音通話紀錄(不含通話內容)、LINE應用程式內部的交易紀錄(例如:購買貼圖) - LINE的韓國伺服器:
照片、影片、KEEP(LINE的雲端硬碟)、相簿、貼文串、LINE Pay的交易資訊(姓名和住所等需要認證的資料則存放於日本的伺服器)
事件爆發後,順勢將資料庫移轉回日本國內
在本次事件爆發之前,LINE在用戶條款中只有寫到「用戶資料有可能會存放於他國伺服器」,並沒有和用戶明確講出哪些資訊會放在哪裡。上述這些資訊,都是LINE在新聞爆出之後,才在官網上公佈出來的。
在這次事件爆發之後,LINE宣布將會逐步將存放在韓國伺服器的日本用戶資料(照片、影片、檔案)轉移到日本國內的伺服器,預定將於 2021年6月完工。至於目前存放在韓國伺服器的日本LINE@官方帳號的貼文串內容,也預定將於 2022年6月前全數移轉到日本國內的伺服器,接著才會陸續將存放在韓國伺服器的日本個人用戶貼文串資料,移回日本的資料庫。
同一作法,兩種詮釋
從國族主義的角度來看,LINE選擇將日本用戶的個人資料移回日本國內的伺服器,可以解讀成LINE因為這次的事件,所以決定將日本用戶的資料全部移回日本國內,防止日本用戶的個資遭到他國勢力介入。但實際情況應是,LINE如果沒有在日本新版《個人情報保護法》上路前,將所有日本用戶的資料移回日本國內的伺服器,LINE就必須要在用戶條款中一一列出各項服務的資料是分別存放在哪些國家的伺服器裡。可以說,LINE應該早就有將日本用戶資料移回日本國內的計畫,只是因為這次事件爆發,LINE便決定順勢公布這項計畫,來安撫日本用戶,希望能挽救日本用戶對LINE的信心。
日本政府動起來
然而,LINE的這波止血並沒有成功。原因是,日本政府機關的個人情報保護委員會和總務省雙雙大動作的要求LINE必須要向政府提出相關報告。
個人情報保護委員會:清查是否違反現行《個資法》
個人情報保護委員會基於現行的《個人情報保護法》,要求LINE與母公司Z Holding必須在 23號前提出相關報告與通訊紀錄。根據現行的《個人情報保護法》,企業如果要將用戶的個人資料存放海外,或允許海外存取用戶資料,必須要取得用戶同意。個人情報保護委員會的要求,就是要確認LINE是否有違反現行法令。
不過以LINE現行的使用者條款來看,因為有寫到「個人資料有可能會移轉到沒有個資保護法的第三國」,雖然沒有明確寫出國名,但應該符合現行法律規範(至少到明年 4月《個人情報保護法》修正案上路前)。
總務省:限期一個月內報告
總務省則依據《電気通信事業法》在 19號要求LINE在下個月 19號前必須要提出報告,說明本次事件經過、保護用戶個人資料與通訊安全的措施、伺服器安全措施的現狀、和用戶做了哪些說明等,稱之為「報告徵收」。
LINE已是日本線上服務基礎建設一環
除了中央政府之外,日本有不少地方政府都有和LINE合作推出電子化(e化)線上便民服務。特別是去年COVID-19疫情爆發之後,政府單位更是積極推廣線上作業,希望民眾可以不用再為了申辦業務特別跑一趟市、區公所,降低傳染風險。
報導指出,日本各地就有約 900個大大小小的地方政府推出LINE@官方帳號。LINE在日本境內每月有 8,600萬活躍用戶(佔日本總人口 68%),是多數民眾慣用的通訊軟體,對於想要推出線上便民服務的行政單位來說,選擇和LINE合作可以降低民眾使用門檻(不需要再熟悉新一套軟體或操作方式),可以說LINE現在在日本已經是數位時代的線上服務基礎建設不可或缺的重要平台。
各地方政府作法兩極
面對LINE爆出有可能會「送中」的疑慮,各地方政府的作法不一。像千葉縣市川市就選擇暫停部分可以透過市政府官方LINE@帳號申辦的業務,這些遭到暫停的線上申辦業務,都是需要民眾在聊天視窗上傳駕照等附有照片可以比對本人的文件,供市政府官方LINE@帳號另一端的作業人員確認是否為本人的行政業務。
除了一般行政業務之外,最近因為正好要開始施打疫苗,有不少地方政府就是利用LINE@官方帳號,讓民眾線上預約疫苗施打時間。距離疫苗開放民眾施打還有一小段時間(現階段日本只有開放讓醫療人員施打),像神奈川縣寒川町和和歌山縣和歌山市就決定要急踩煞車,在確認LINE是否有資安問題之前,決定以傳統網頁或電話預約的方式處理。
也有像福岡市或三重縣教育委員會(相當於三重縣教育局)認為,目前府方和LINE合作推出的線上服務並沒有「送中」疑慮,所以會維持現狀繼續使用。
中央政府:涉及個資的服務先喊停
目前總務省已要求所有地方政府必須在 3月26日前向中央政府回報行政部門使用LINE做為線上便民服務的使用情況。
內閣官房長官加藤勝信也在 29號的記者會上表示,如果是會需要使用到民眾個資,或會涉及機密資訊的線上便民服務須立刻暫停實施,待政府內部開會討論並做出公部門使用LINE做線上便民服務的守則後,才會予以開放。如果只是單純使用LINE@官方帳號的群發訊息功能推播政令資訊,則不在此限。
記者會上也提到,目前LINE為各地方政府開發中的COVID-19疫苗預約系統,所有資訊都是存放在日本境內,無法從海外進入資料庫,所以會持續完成系統開發,呼籲地方政府不用擔心。
以行動支持創作者!付費即可解鎖
本篇內容共 5235 字、0
則留言,僅發佈於石川カオリ的日本時事まとめ翻譯。你目前無法檢視以下內容,可能因為尚未登入,或沒有該房間的查看權限。
你的見面禮 Premium 閱讀權限
只剩下0 小時 0 分
留言0
查看全部
你可能也想看
Google News 追蹤
難得休息的一天,整理一些之前買的周邊多買多收的,想說來出出去,結果呢就遇到一個要我加line的人
故事從這裡開始
因為是大陸的周邊,所以想說也po在小紅書上,結果就有一個人說幫朋友問,叫我加他的line然後傳商品圖給他,其實我已經覺得很怪了,因為我po出來的就是所有商品圖&價格&交貨方式。
LINE中小型店家數位轉型應援計畫今年已邁入第三年,過去一年 LINE 攜手全國中小企業總會、商業發展研究院南部院區、商業總會百年暨一甲子老店聯誼會、台灣連鎖加盟促進協會、亞太行銷數位轉型聯盟協會、中華民國資訊軟體協會及智策慧品牌顧問有限公司等產官界夥伴,協助店家善用創新數位工具,開創商機新局。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
在開始陳述時,我知道很多人會有自己的意見
故這邊也只是一些待在日商時所碰之真人真事,給予看法
小弟先前在某間日商,分A、B、C三大部門,
小弟入職恰巧在C部門,其他部門基本都由台灣人自行管理
只有這C部門有最初是由日本部長帶領的,但那都是舊話了
在2023年時全面改組成台灣人自行管理,
文、圖/台灣微吿新聞稿
台灣微告於近日正式公佈與漸強實驗室(Crescendo Lab),於2024年,做為台灣區唯一日系企業的「業務策略聯盟夥伴」,為現今個人化行銷時代,透過行銷科技賦能與 LINE 官方帳號(LINE OA)進行綁定,精準鎖定受眾將商品行銷至台灣、日本、泰國市場。
從
警方透過法律程序和合作來追蹤詐騙集團位置,可能使用數據追蹤技術和合作情報分享等方法。被詐騙後,受害者可報案調查並透過法律途徑、國際合作、金融機構協助或私人調查追討款項。
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。
2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
文、圖/LINE
近幾年隨著LINE官方帳號的技術與方案門檻降低,越來越多人力資源有限的中小店家投入經營LINE官方帳號。為幫助更多中小店家了解LINE Biz-Solutions的數位行銷工具,LINE於今日舉辦「SMB DAY 你的生意LINE放大」,宣布推出全新的
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。
除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
近期,聯合新聞網披露,有駭客在國外論壇 「Breach Forums」上出售 20 萬條台灣民眾個人資訊,並聲稱擁有台灣 2300 萬民眾的詳細資訊,其中國民黨員、宜蘭縣縣長林志妙的個人資訊也在其中。
10 月 21 日早上,海外論壇「Breach Forums」出現一篇文章,一名ID為「OK
難得休息的一天,整理一些之前買的周邊多買多收的,想說來出出去,結果呢就遇到一個要我加line的人
故事從這裡開始
因為是大陸的周邊,所以想說也po在小紅書上,結果就有一個人說幫朋友問,叫我加他的line然後傳商品圖給他,其實我已經覺得很怪了,因為我po出來的就是所有商品圖&價格&交貨方式。
LINE中小型店家數位轉型應援計畫今年已邁入第三年,過去一年 LINE 攜手全國中小企業總會、商業發展研究院南部院區、商業總會百年暨一甲子老店聯誼會、台灣連鎖加盟促進協會、亞太行銷數位轉型聯盟協會、中華民國資訊軟體協會及智策慧品牌顧問有限公司等產官界夥伴,協助店家善用創新數位工具,開創商機新局。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
在開始陳述時,我知道很多人會有自己的意見
故這邊也只是一些待在日商時所碰之真人真事,給予看法
小弟先前在某間日商,分A、B、C三大部門,
小弟入職恰巧在C部門,其他部門基本都由台灣人自行管理
只有這C部門有最初是由日本部長帶領的,但那都是舊話了
在2023年時全面改組成台灣人自行管理,
文、圖/台灣微吿新聞稿
台灣微告於近日正式公佈與漸強實驗室(Crescendo Lab),於2024年,做為台灣區唯一日系企業的「業務策略聯盟夥伴」,為現今個人化行銷時代,透過行銷科技賦能與 LINE 官方帳號(LINE OA)進行綁定,精準鎖定受眾將商品行銷至台灣、日本、泰國市場。
從
警方透過法律程序和合作來追蹤詐騙集團位置,可能使用數據追蹤技術和合作情報分享等方法。被詐騙後,受害者可報案調查並透過法律途徑、國際合作、金融機構協助或私人調查追討款項。
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。
2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
文、圖/LINE
近幾年隨著LINE官方帳號的技術與方案門檻降低,越來越多人力資源有限的中小店家投入經營LINE官方帳號。為幫助更多中小店家了解LINE Biz-Solutions的數位行銷工具,LINE於今日舉辦「SMB DAY 你的生意LINE放大」,宣布推出全新的
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。
除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
近期,聯合新聞網披露,有駭客在國外論壇 「Breach Forums」上出售 20 萬條台灣民眾個人資訊,並聲稱擁有台灣 2300 萬民眾的詳細資訊,其中國民黨員、宜蘭縣縣長林志妙的個人資訊也在其中。
10 月 21 日早上,海外論壇「Breach Forums」出現一篇文章,一名ID為「OK