2013年2月26日

Google:挾持帳號成為寄送垃圾郵件的新手法

Google安全工程師Mike Hearn表示,對抗Google垃圾郵件過濾機制的方法之一,是以使用者通訊錄中的友人帳號來發送郵件,這也讓駭客開始藉由挾持使用者帳號來寄送垃圾郵件。每天都有網路罪犯入侵各種網站來竊取資料庫中的使用者名稱與密碼,然後到黑市兜售,由於許多人在不同的網站使用同樣的帳密,代表只要竊取一組就能應用於其他網站服務。

不過,Hearn解釋Google不僅僅是確認使用者輸入的密碼,當使用者登入Google時,系統即會進行風險分析,以確定登入的是使用者本人,假設該登入很可疑,系統就可能會詢問使用者的電話號碼或安全問題,在2011年挾持帳號的高峰期時,Google減少了99.7%的帳號挾持比例。

即使有安全機制的保障,Google仍然建議用戶使用更複雜的密碼,同時升級到必須額外自手機接受認證碼才能登入的雙步驟驗證,並且更新帳號回復資訊,以改善使用者的安全與隱私。

http://www.ithome.com.tw/itadm/article.php?c=78845

律師:Nokia百萬個資外洩案已可提告求償,恐成個資團訟首例



-達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。

依據個資法28條規定,單一事件中每人可求償金額從50020,000元不等,以Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額2億元的上限。

雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由Nokia負責,民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

不能只在網站發表聲明,企業需主動通知受害當事人

根據個資法施行細則第22條規定,Nokia必須採取當事人能夠知道的方式來通知民眾,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。但是,葉奇鑫認為Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的告知義務。

http://www.ithome.com.tw/itadm/article.php?c=78926

搜尋

標籤

總瀏覽量