全台 2300 萬人個資，在暗網都買得到！個資外洩後，會讓你負債80萬？ft.黃勝雄博士｜志祺七七

勘誤：
不好意思，11:25 應為 Decrypt ！

在別的國家企業需要為資訊外洩對顧客負責的時候
台灣的企業只需要兩手一攤說 :我們也是受害者阿 就可以免去災禍
就這環境台灣資安會好才有鬼

教育也該加強了，事關國安，雖然那些自學強者跟一些 CTF 競賽團隊都一直存在，但還是缺少正式的課程跟教育資源，很多企業也不太重視專職的資安人員任用。(除了少數那幾個本來就在研究這方面的實驗室) 台灣的資工系幾乎沒學校會開 specification 或是 verification 等形式化方法相關的課，例如怎樣用分離邏輯跟相關工具 (FRAMA-C、KaRaMeL、KeY、Coq等) 來驗證寫的演算法是數學上邏輯正確的、記憶體安全的，可以說是這方面領域的知識沙漠

台灣資安缺的不是技術人員，而是觀念制度還有法規。很多IT人員根本就是對資安一知半解，只知道怎麼樣操作來達到工作的目的但不太管資安。資安很大一部分是跟管理有關的，像是員工的job rotation, mandatory vaccinations, least privileges等等，這些東西我在台灣的時候沒什麼看到有人在談，但在資安的管理層面這很重要。資安防禦人很常是大破口，資安教育訓練很重要。技術有人但內部人士不小心爆了也毀了（

推薦大家可以去看一本生活資安五四三的書，裡面就是非常多資安意識概念的說明，網路生活都20年了，政府或教育部應該建議高中大學要有資安意識的通識課

獨立的資安管理機構真的很重要，畢竟現在是科技時代
但萬一管理單位的人員自己外洩...😢

要談個資安全請先從某些業者開始吧！大家下次辦門號可以自己看看，合約裡面都簽好一旦你門號開下去，你填的資料和你辦的資料可能讓他們分享給他們的關係企業，而且合約全部都是電子化契約，你不能改條文，只能選擇辦或不辦，呵呵。(更新：如申請後要更改授權還是可以，但就是要依個別公司提供的方式辦理)

本身是在做資訊系統的，2019年前真的超多政府案，我自己就有接到一個
但公家單位有個很嚴重的問題是說，IT人員根本不足，當時負責的單位，一百多位職員，只有兩位IT
這兩位IT要管硬體、軟體、資料庫、網路、資安、資訊教育訓練哩哩摳摳
跟民間企業比（大公司或者銀行業），根本完全做不來，先不說他們夠不夠專業，至少比起一般人他們懂得一定比較多。
政府單位的資訊人員不夠或過度集中在特定單位也是個很嚴重的問題。

從不斷再不斷出包的資安、交安和公安事件，可以看出我們台灣人民族生性樂天，不把「安全」和「風險」當一回事。

前幾天不就發生了在誠品網站買書，結果接到統戰電話的新聞事件，
這是因為台灣的防禦系統太弱，還是對手太強，還是根本就是有人內神通外鬼？

最近還有人用個資跟法院申請付款證明，由於大多數人都覺得這是假的不處理，結果過了14天追朔期，被法院強制扣款小到2萬大到1000萬都有。

最後資安相關事件處理依然要有一個獨立機關才有辦法來處理...執行長其實也已經算是告訴了我們現在的數位部，有權無責的實態問題。

若是商家或是社群網站就算了，但最近變嚴重了，本人在5月初臨停被開單，在雨刷處留下逕行舉發單，結果在5天還是6天後突然收到簡訊，說我違規停車要我點入網址連結確認資料是否正確...當下覺得奇怪，沒看過這種通知的方法，就問朋友，結果朋友就注意到電話是60開頭的......就是詐騙。所以不知道是詐騙看到我擋風玻璃的單子還是政府電腦被駭，只能提醒自己以後要更小心，要多方核對，以策安全...

其實很多時候領包裹或是可以用身分證字號或電話讓服務人員幫你查詢的地方
都是直接請你當場念出來 , 這些都讓我超級不自在.....

奇怪了 為什麼勸人家不要買有後門洩密慣犯公司的手機的時候
總是得到""我的個資不值錢啦 沒人要偷 偷我也沒錢給她騙"諸如此類的

感謝製作此話題，這一直視我很關心的議題，希望立委候選人有人可以提出此議題並立法。

如果有認真上過網管課，第一堂網管概論就會告訴你一個基本但重要的觀念 : 密碼複雜度
一組密碼最基本的複雜度至少應該要有符號、大小寫英文字母，但卻還是有公司和機構不能使用符號作為密碼
除了更改密碼，不妨直接停用和刪除帳號，各平台也該有這樣的途徑給各用戶
露天就是個很好的例子，帳號被盜用如果想停用就直接幫你處理了，不然被拿去幹甚麼事情，進警察局的只會是自己

從辦門號跟開戶之後就會時不時的收到接到貸款相關的訊息，我都在想是不是他們洩漏出去😂

成立了一堆辦公室，結果什麼問題都沒解決...

真的不意外，10幾年前曾經幫某港務局處理過電腦，好幾台電腦掃出一堆惡意程式慘不忍睹

在政府機關資訊系統外包商工作，雖有法律規範，但就目前所看到的政府單位的資安仍是不及格的，部分開放民眾註冊的公家單位系統其背後的資料儲存是沒有加密保護的，內部工程人員可以直接瀏覽，所以自己的密碼保管的在好還是有可能會外洩，建議在政府單位註冊帳號時不要使用自己平常使用的密碼。不能透漏更多了🤫🤫

一定有內鬼
就跟學生時代,補習班為什麼會有學生資料,就是班上某同學洩漏出去的,不然呢(雖然畢業紀念冊通訊錄也是一個洩漏管道)

從政府部門的官方網站會把自己內部員工的登入位置放在公開的官網首頁就可以知道
大部分的公務人員對資安的意識有多薄弱
我們不要求公務人員要跟我們資訊人員一樣有專業水準的認知
但是最最最基本的放棄使用IE瀏覽器、不要把登入網址放在可以被google搜尋結果爬到的地方、不要用盜版軟體、不要用預設密碼這種基本素養我是覺得政府應該要確實要求！
現在很多政府外包的案子明明都會考量外包商有沒有ISO27001的認證
卻對內部人員隨便對待資訊漏洞這件事放任不管

感謝做這一期內容非常重要，不過聊這麼恐怖的事情，背景音樂卻一直這麼輕鬆，讓我認知失調😂

希望台灣有一天能夠通過GDPR 適足性認證

查一下"健保署 盜賣個資"就有新聞了，政府自己對資安這個態度，還期望資安環境多好? 很多人以為資安就是灌個防毒軟體就好，事實上資安從網路設備、資料庫、終端使用者環境都要很仔細考慮，每個環節都可能成為洩密的大水管。

說這樣會負債是用"標題騙點閱率"。有常識的人都知道，不管是貸款還是信用卡，都還要透過手機甚至是本人照會。

這位執行長說明得非常清楚👍資訊安全如此，希望交通安全也是

我都不知道台灣人重視資安了，說不要用抖音、Epic、華為的時候反駁的很大力，結果現在忽然很重視資安，問號？

我不覺得台灣人需要資安，質疑新北消防局花上百萬買中國製CPR練習機，學習機上安裝的鏡頭有人臉辨識功能，回復民眾一句不上網亦無針對人臉及個資進行存取及紀錄，沒有資安疑慮，還有各處藉由台灣公司洗白買進的中國製監視器，根本沒人抗議，還說便宜的中製平衡物價上漲，連之前中介法草案，希望藉由法規，促使大型線上平台內容透明化，並要求平台負起「守門人」的監督責任，對其服務內容及言論加以規範，除了防網路詐騙也建立安全可信賴的網路環境，也被抹黑，我覺得台灣人不配說自己重視資安。

政府真的要正視這個問題，老百姓一點一滴都是辛苦錢，這麼多聰明的公務人員，一定有更好的源頭訪堵方法，大家一起加油！

聽起來似乎是有意要切割以前跟現在的資安，現在數位部花了好人民上百億 用的是原來就已經存在的工作人員，做的是原來就已經在做的事，不曉得他們到底有什麼樣子的成效 尤其對於反詐騙，還有反統戰的資訊廣告 到底做了什麼努力

黃勝雄博士邏輯清晰，描述完整清楚

結論：
執行長密碼全都手寫，代表本身”應該”也不信任現在的網路資安。
數位發展部不用為這件事負責，因為這些資料外洩”應該”是內政部2018年的戶政資料外流，在法律上來說應該由內政部來向民眾說明情況，與提供相關處置方案。

當你會收到很多奇怪電話的時候，就代表你的個資外洩了。

這幾天網路大量被掃，因為有做防火牆監測所以知道，但身為一個平民都會被SYN攻擊，且看起來像是為何試探缺陷提供入侵管道的攻擊，那企業更會如此，尤其傳產沒有資本可以請人管理伺服器，整個網路被入侵都是可能的。之前就有購買某電商隔天被盜刷過，但因為自身資安環境加上該卡片註冊平台有限，幾乎可以確認流出的平台，是目前國內前十大電商，這表示很多人都很危險，我是因為有網銀監測可以立刻鎖定付款，但不懂的人又如何保護自己？
過去我就有制定密碼生成規則，且是屬於高強密碼等級，同時避免忘記，也會使用二步驗證，且不紀錄任何密碼於可連線電子設備，但若有新的密碼科技，都會持續更新驗證方法，但對於小企業而言，持續更新新的防護策略成本很高，很多公司都還在十年前的加密制度，包含MD5這類已經被數學驗證破解的加密系統，仍在多數網站運作，原因也是要改版加密系統，網站更動會很大，可能要重新設計，對台灣企業來說，資安不是最重要的，反而花費更多心血在促銷，而犧牲能夠升級設備的機會，人民對資安也是一副不在乎的狀態，我在FB事件前就已經退出，但要別人退出時反而被嗆還要求加回去，因為政治要用fb才能看，台灣高度仰賴這些不合法（GDRP)的資安平台作為訊息傳遞工具深入基層，我對台灣改善資安的能力感到十分絕望

再多成立幾個數法部相信個資問題可以得到解決
有政府，好安心

我目前是用志祺他朋友講的那種方法，但因為還是要對應不同帳號去記關鍵字或邏輯所以還是有點麻煩，而且有的密碼不能大寫，有的只能用數字，在密碼設計上也是很麻煩，有時候會搞混，還是可能要寫轉換表，有時候沒帶在身上就很麻煩
要隨時可以查閱密碼轉換表，也有想過可以試試用達文西密碼還是天使與魔鬼裡面提到的解碼方法，把很容易取得的資料做為密碼對照表，像是以聖經的第幾章節作為轉換表，把很簡單的詞按該規律轉換即可，不過我沒試過這部分

去一趟水銷廠就知道，一大堆公司行號跟診所的紙本資料都嘛沒有先用碎紙機碎銷，直接整疊丟在那邊等處理，看了都覺得可怕

你去隨便一間公司應徵，他都會要求你填寫他們的制式化應徵表，裡面包含身份證字號、生日、住址等資訊都要填，重點是這還只是面試前而已，你填完可不代表錄取唷，我就問這樣哪來的資安呢？

7:19 這邊有點誇張了，台中那個案件是盜辦戶籍謄本，且31人目前沒有財物損失。
銀行系你要不是本人沒雙證根本什麼都不能辦
直系血親代辦系統撈得到本人資料的會電聯本人
代辦人的雙證都要留檔，代辦次數太頻繁系統都會提示風險
再說新開戶根本沒用戶資料，個資真假完全沒意義

所有重要帳號辦二步驟驗證
刪除沒在使用的網站帳號
每過一段時間修改密碼
不共用私人帳號
金融投資、和錢有關的帳號密碼建議手抄紙本
簡訊連結不要點，有優惠查關鍵字直接找官網，
小心假連結、假平台、假網站

看完後真的覺得台灣很多人都國際資訊脫節啊!!!尤其明年又要選舉....
而且志祺77講個資這話題，下面就暗喻某些事情，真的讓人覺得很煩啊!!!!
影片中曾兩次提到2019年才加強資安，我就好奇之前為什麼不推動呢?
並且影片還有提到暗網上販售15萬美金，會有這價格可能表示"有需要的單位"早已經取得相關訊息，
那這一點又是從哪外洩的??是不是我們一般註冊的遊戲、網站或是其他網路調查呢?
總之，我覺得黃博士說的不錯，個人的資訊還是得儘量靠自己保護，並且監督政府推動相關法案。
更重要的是，我覺得台灣人自己對於法案，千萬不要只看某些固定新聞或是朋友互傳資訊，
如果可能的話，最好多方驗證尋找正確資訊才對。
關於正確資訊，我最近就深有感觸，之前我父親看得"台灣啟示錄-南非武官挾持案"我有跟著看，
看了之後覺得台灣警察真的不錯，對於人質救援上非常有耐心....
但最近突然被打臉了，因為"國家地理頻道-異鄉歷劫:台灣、真愛(南非武官)一書"，
就有採訪&寫下南非武官對於此事情的感想，也讓我感嘆台灣新聞媒體這麼早就喜歡做假&吵八卦....

最好的方式就是定期更新密碼，另外別讓電腦幫你記住密碼，而是自己手動ki in，自己寫在知道的紙上，好好保管。

台灣一堆資訊公司科技公司內部根本沒資安部門，或者資安部門形同虛設，要規範他們難如登天。

前面那些留言是根本沒看影片吧 才上傳多久 還有加上影片長度 一堆沒看影片的討論

最大的問題應該是洞補了沒、怎麼補吧？怎麼感覺訪談對於過往的不足只是論述資安法過後就好很多了而已？個人資料既然已經外洩，除了引入一些 breaking change 的認證機制外，我不知道有什麼信心覺得只是倡導資安衛生就可以了
實在覺得訪談深度不足。而且多的是密碼管理軟體如 1Password 等選項，或者是微軟推廣的無密碼登入等技術，我總覺得受訪人專業程度是否不足，僅只提及「紙本管理密碼」以及「人臉辨識做為新的認證工具」
作為此頻道長久以來的聽眾，滿期待訪談人以及受訪者都能有更深入的內容討論，期盼看到更多更好的內容

資安講的都是防禦，我覺得應該反擊，不斷投放假資料到資料交易平台，並不斷認證其資料可靠性。

個人認為 大多會洩漏不是因為軟硬體上有漏洞 而是由內部人員流出的
部分開發人員與資訊室人員 可能都有訪問正式機資料庫的權限
下一個 Select 星號 就全部拉出來了
雖然資料要轉移出來稍微有點門檻 但並不是辦不到

電信公司和銀行業都會讓我們的外資洩漏，光是電信公司就獲利無法數

防禦這種事因為民眾只會看到你沒防住的部分，但你防住了什麼看不到、或者說也很難宣傳。就很容易留下一個 "政府都沒在防喔"的印象

傳統密碼有點像實體貨幣，所以稍微了解一下數字化人民幣有哪些問題大概就會知道為什麼傳統密碼不可以被完全取代了。

驚呆 這個短片很有意義 我有受到教訓

4:11
這張表可以顯現出有兩個國家不再此列~是專門在偷個資的~XDDDD"

請問志祺能做蝦皮實名制的主題嗎？也是和個資外洩有關

我手機每天都詐騙電話、簡訊
現在基本上有人打過來我都不接、簡訊都不看。煩都煩死

這個太扯 絕對會讓台灣出生率再往下掉
誰會讓自己孩子一出生就在這種風險?

台灣在前聽起來其實好像沒那麼嚴重，畢竟後排的國家好像不少網路不怎麼發達的感覺

這樣看來，現在政府的資安比是以前要好，畢竟2019之前沒有資安的法規也沒有相關的政府部門。問題是因為現在民眾對於資安的觀念比以前了解也更重視，政府除了做事以外不能忽視與民眾的溝通，不然民眾只會認為整理砸了大錢卻也無法解決資安問題。需要跟民眾說明個部會的權責關係與分工，不然一般民眾不懂也只能亂罵一通

看到這個更覺得應該投柯，柯很認真在了解趨勢，而不是做做樣子。

就像道路工程規畫需要一個跨部會的獨立機關，給人民一個統一標準安全回家的路。

很多時候，再多的資安規定都敵不過一個沒有概念的隨便上級。

因為個人職務，我有機會在開會時看到部份被洩漏的個資，發現都是10年前的資料…
那時候誰執政知道吧

13:15
說到人為流失，其實某種程度來講也不能說跟系統防護沒有關聯...
因為系統防護其中一環自然要考慮人為外洩的風險。
如果只是單一或少數特定人被外洩，
那的確可能是經辦的人員基於某些原因監守自盜。
如果是整個系統全體資料外洩，
如政府的戶政役資料...
這些資料首先不會有單一或少數經辦人員有需要看得到所有內容的時機，
也就是這些資料平常並不需要讓這些人有能力取得並外洩，
如果系統一開始就保管好限制經辦人員的能力，
那自然就能防護這樣的風險。
想像成實體物品來看，
如果國家把每個國民的戶政資料都放在只能用鑰匙打開的保險箱裡，
平常國民辦事就是拿鑰匙去開保險箱拿出來進行，
那麼顯然就算有內鬼他也不可能同時取得所有人鑰匙把保險箱的戶政資料都拿出來外洩。
17:34
政府最大的問題不是不作為，
而是很喜歡粉飾太平，
喜歡講一些絕對沒有、不是外洩、系統沒問題之類的東西= =
都要等被後續更多證據揭露才無法否認，
既然不願意承認問題，
那又怎會有誠意解決問題？
「內政部再次重申：戶役政系統並無外洩戶政資料」111.12.29 內政部戶政司
「戶役政資料外洩 林右昌：有11個機關單位可能洩漏」112.3.27 中央通訊社
p.s.
看似耍嘴皮其實就是帶輿論風向安撫而已，
人家說資料外洩，
他就會扯某系統安全沒有入侵跡象。
這兩件事實際上並沒有直接關聯，
就是呼嚨不懂的人以及讓媒體帶風向用的，
這種問A答B不肯正面審視資料外洩狀況，
才是令人最擔心的。

資安真的在未來很重要，尤其是AI發展越進步，現在AI詐騙也一直出來，看好資安股未來有爆發式的成長

我辦來給小孩用的sim卡平時小孩不會使用，卻不時就會有廣告電話打來，真的是莫名其妙。

我還是學生時，打工當業務，一位"自稱台灣大學心理系"的伯伯丟名片給我，我以為他要買，他約我"請他吃飯"，他自己帶了一整份"他在大樓當管理員的住戶資料電話要我跟他買個資"，再提出"如果我賺錢要分他多少錢"; 他自己又說他是精神分裂症，女兒恨他，家人如何，..............之後我去他給我資料的國家住宅，住戶說他跟住戶吵架被解雇。 這讓我覺得，窮人很需要錢，有錢人也需要錢，但有道德瑕疵，就算是哈佛，師範大學什麼名校畢業，被詐欺的人，還是討厭被騙阿~~ ps:但是年輕女人騙錢大家會原諒，比如說韓kpop女明星假唱，大家都體諒，畢竟本來錄音就修音過了，現場就算調音，也是無法跟錄音室一樣

台灣2300萬筆戶政資料都被賣光光
但到後來好像都沒下文了..

想要安全 就必須先要能理解為什麼這樣做是安全的
不然只會淪為 她說這樣很安全 那就很危險

ˊ_>ˋ 前一段时间还发现某家电子书商城的源代码访问金钥外泄，导致 DRM 算法和全站的前后端实现全部暴露的问题。后来花了两天火速联系了他家的开发团队把问题解决掉了。咨安问题不能忽略呀……

當過程式設計的外包工程師就會知道各個企業個資外洩是多麼容易的事

就早年政府的洞太多，這幾年補不起來又一直漏，不給錢又要堵好資安

還有很多公益團體的高層，私下會把 ( 填問卷 ) 個資拿去賣給好幾家行銷公司，爽賺外快

黃勝雄博士說話有條理又有邏輯，好厲害喔!

從事科技業的鄭姓男子，去年10月因好奇以5000顆泰達幣，折合台幣約15萬元，購買2357萬餘筆民眾戶役政資料。檢調基於鄭男認罪，且未將上述個資不法使用，處分他獲緩起訴處分1年，並繳付公庫50萬元；台高檢日前駁回北檢再議，鄭男緩起訴確定。

不知道是不是因為快大選了 實在是有好多看了令人無言的留言😅
前陣子也才看到 許多公司雲端發票系統竟然都還是使用預設密碼...
足見許多本土企業與民眾對資安的散漫與不關心
之前愛莎尼亞的影片就有看到過 懂得重視資安的小國能夠多有價值
真的是別說什麼 我的個資不值錢
如果是有遠見的老闆 我就不相信會錄用任何講過這種話的人
而且一個你完全不認識的人 完全知道你住哪裡 你親朋好友有誰
今天他看你不爽就叫人潑漆騷擾 你還不知道他是誰
我怎麼想都很可怕吧...

博士是不是很少去銀行，單憑數位個資去銀行要辦卡是很難的

高中的時候在MYSTEAM 邁思町這個網站上面買點數
七八個月後有一個大陸腔的女生打來跟我說 我之前買的點數有問題 要我給銀行資料什麼的
我直接掛掉 之後的五六年 到我大學畢業後都還是持續有騷擾電話打來

目前最有養分的影片，希望以後影片都多做點深一點的層度

優秀的內容 謝謝

很多台灣人對個資並不在意，特別是一些比較親中的台灣人
他們常常說，政府太過大驚小怪，我想就是這種態度，才讓政府掉以輕心

懂了~大家要繳稅，要養數發部，但是資安要靠自己不要找政府

有一陣子 常被加入股票LINE群組 莫名其妙就被加入了

所以我為何不喜歡用蝦皮、線上支付
就是因為你註冊的個資，全部都被他們出賣給其他公司以及KK的詐騙集團

16:50 政府到現在還在裝死，真的讓人抓狂。

人臉辨識=不能上傳任何照片不然用AI合成就破解了，聲紋辨識=不能有任何影片存在不然會被AI合成聲音

我記得我高中的時候有個美國家長要告我所在的台灣高中 因為她的女兒個資外洩 。難怪我和其他學生被霸凌 還有所有私事全部都被公開出來當笑話。重點是我很安靜幾乎沒朋友也沒有交流。基本上他們應該不知道我的事。就是因為學生互相之間都可以看到。老師和學校都沒在管的。總之活過去了。

誰要負責：
金管會：不知道，不歸我管。
消基會：不知道，不歸我管。
消保會：不知道，不歸我管。
立法院：不知道，不歸我管。
行政院：不知道，不歸我管。
司法院：不知道，不歸我管。
監察院：不知道，不歸我管。
總統府：不知道，不歸我管。
數位發展部：不知道，不歸我管。

拜託台灣要做資安主管的都要強制一張CISSP，不然很多觀念真的會過時…

-把身分證或類似的東西當成金鑰-

感覺好酷，第一次感受到自己的身分仍是種虛構，而非一種現實，再多的資料外洩都無法實質上的取代我這個人，只能是一種虛擬的取代

還以為業配會是surfshark vpn

所以現金還是很重要的，電子支付容易被盜

我的email被賣給某個連鎖健身房，因為email文案寫得太好了，他們的公關又說確實有這個方案。我一填資料不到一小時就被約隔天參觀，雖然知道email文案跟我理解的內容完全相反，但因為業務太會聊天了，我也是加入會員了。 商人想盡辦法賺錢，甚至從員工受傷私下用員工資料來賺公司團險..........跟我借銀行帳戶甚至已經是10年前就有了，真神奇，該怎麼信任公司?

這都多久了，從上上個月報導過一天就沒後續了，但是自從那天起貸款電話跟詐騙電話就他媽的有夠多，政府完全擺爛，在野黨也是一個鳥樣。

這不是黑箱通過網路交換中心審查的TWNIC嗎。所以為啥FOX沒有過標準還可以通過。
會議記錄中出席人員還寫「略」。
找個審查不中立的雙標機構來大談資安？是不是哪裡怪怪的。

感覺我們的數位發展部現在還無法應付海外駭客入侵

我差點聽睡著 感覺跟鬼打牆一樣 還是明天再看一遍

要受害者一起對政府申請國賠才會重視 花錢請知名公司一起防護

其實台灣對於資安相關系統是可以做到很好的,
只是從民間企業到政府都只想便宜了事,反正洩漏了就說我也是受害者就沒事了