國外有個相當知名的網站「Have I been pwned?」相信大家都聽過,這個網站收錄歷年來被駭客竊取、公佈在網路上的使用者個資,只要輸入你的 Email 就能搜尋自己的郵件地址是不是在外流名單,甚至後來還有「Pwned Passwords」收錄超過三億個外洩密碼,可檢查自己的密碼是不是被竊取過(還有出現次數)。去年 Mozilla 推出 Firefox Monitor 服務讓使用者訂閱通知,一旦有新的外洩事件發生就能立即得知自己的個資是否在受波及範圍。
這些服務主要都是掃描 Email、密碼等網路上會用到的個資項目,對台灣使用者來說,可能更想知道姓名、身分證字號或電話被洩漏的情形,本文要介紹「台灣抓漏小天使」就是針對台灣用戶推出的個資外洩追蹤系統,有點像 Have I been pwned? 的感覺,不過更側重於台灣發生的重大資安外洩事件。
在介紹這種和使用者隱私高度相關的服務時我都會特別小心,除了看一下網站開發背景和目的外,也要更深入了解運作方式等技術細節。
台灣抓漏小天使是一項教育部資訊安全人才培育計畫 108 年度新形態資安暑期課程專題競賽的產物,主要是開發者發現這幾年有大量個資外洩事件被揭露出來,但大多數機構並不會主動通知使用者個資外洩問題,因此想到利用單向去識別化方式幫助使用者確認自己是否在影響範圍,也希望台灣的資訊安全意識可以更進一步提升。
台灣抓漏小天使會將使用者的姓名、身分證字號以 SHA-1 雜湊函數去識別化後回傳主機,進行原始資料上的比對,因此原始資料並不會被識別出來,網站本身亦不會保存資料,只會以雜湊值進行資料諮詢(白話文就是你的個資會變成一段隨機字串,用這字串去比對資料庫外洩的個資內容)。
這個計畫為開放原始碼專案,網站完整原始碼可以在 GitHub 找到。
網站名稱:台灣抓漏小天使
網站鏈結:https://breach.tw/
使用教學
STEP 1
開啟「台灣抓漏小天使」網站後,請先確認一下網址列上網址是不是 breach.tw ,有沒有一個鎖頭符號(SSL),才能確保你的個資不會被其他偽造的網站竊取。
STEP 2
接著開啟「搜尋洩漏紀錄」功能,輸入要檢查的姓名、身分證字號,網站表示這些資料會先去識別化並回傳運算結果,不會直接傳送原始資料,如果不放心,可以點選「分次操作」版本,就能自己手動以演算法產生雜湊代碼,再傳送給台灣抓漏小天使進行查詢。
STEP 3
搜尋結果如果是綠色背景,表示個資目前尚未在大規模洩漏中找到,不過並不一定 100% 正確無誤,也可能只是還沒被網站找到而已。
若搜尋結果為紅色背景,代表在資料庫中發現你被洩漏的個資,也會顯示在那一事件、網站和洩漏的相關項目。點選「外洩事件列表 & 解釋」會有更多說明,網站收錄近幾年比較重大的個資外洩事件,不過僅會顯示 5000 筆以上的事件,一些較小的名單只會提供給使用者查詢而已,有興趣的話可以查看事件清單。
STEP 4
如果你想在未來知道自己的個資有沒有被外洩或竊取,可以考慮「訂閱外洩事件」,當你的資料出現在大規模個資外洩清單時就會以 Email 通知使用者。
值得一試的三個理由:
- 輸入姓名、身分證字號查詢自己的個資是否在資安事件外洩清單
- 可透過 Email 訂閱外洩事件,一旦發現個資外流就發送通知
- 開放原始碼專案,個資以雜湊函數去識別化後進行比對