WeChat個資外洩事件 KPMG提醒4重點增加數位防護力

KPMG今（12）日表示，國外資安團隊在網際網路上意外發現了一個高達631GB且未有任何安全防護的資料庫，驚見內部竟存放近40億筆中國民眾個資，且不排除其中tw的資料庫可能與台灣民眾相關。KPMG安侯企管公司董事總經理謝昀澤提醒4重點技巧來提升民眾數位防護力，包括多元密碼；啟用多因素驗證（MFA）；警覺可疑簡訊、電話與郵件；即時更新設備與程式。

KPMG安侯企業管理股份有限公司董事總經理謝昀澤表示，中國由「資料盜竊技術」加上「詐騙行銷話術」的「一條龍詐資鏈」已經非常成熟，透過網路攻擊、資料分析、行銷、洗錢、客服、法務等專業分工，利用來自網購平台、求職網站、醫院、學校、電子支付與電信公司等多元巨量資料，在暗網、Telegram甚至線下，頻繁進行個資交易。

謝昀澤分析本次事件外洩的資料架構，攻擊者可使用資料拼圖等資料加值技術，整合社群媒體帳號搭配住址及銀行資訊，比起單一平台外洩的個資，更明確掌握個別民眾的背景資訊，這些個資，將會用於精準詐騙、精準行銷、社交工程攻擊或洗錢等用途。

針對企業的個資保護策略，KPMG隱私保護專家協理趙慶宏建議，擁有民眾個資的台灣企業，首先需確認是否有將個資傳輸到境外，如有，應明確告知當事人如何傳輸到境外。

其次，需採取依據個資法適當的安全措施或監督機制以確保當事人個資在境外地區的安全。

趙慶宏提醒企業主，台灣主管機關在近期對於業者在進行個資行政檢查時，特別關注業者就所保有的消費者或會員個人資料是否有明確告知當事人有跨境傳輸的責任。近期亦有業者，因其所蒐集的會員資料上傳到位於香港的雲端資料庫，但未依法告知會員，而遭糾正的案例。

國外資安團隊意外發現一個高達631GB且未有任何安全防護的資料庫，研究人員存取後，赫然發現裡面竟存放了將近40億筆中國民眾個資，內容包含WeChat用戶ID超過8億筆、銀行和住址等高敏感訊息高過6億筆，及其他個資驗證資訊等，堪稱目前為止中國最大規模的資料外洩事件。值得注意的是，外洩的資料庫中，有一名稱為tw的資料庫，不排除可能與台灣民眾相關。