機敏文件丢出去,就再也回不來了 ~ 談PDF線上轉檔的資安風險

我們在工作中,多少都會遇到需要處理PDF檔案的狀況,大到發表調查報告,小到整理支出報核單時的發票憑證,只是為了合併、分割、改幾個小錯字,轉方向等小小的需求,就必須下載「Adobe Acrobat Pro」試用版來使用七天,然後就不能用了。

處理PDF的工作,常常都來得又快又急,因此許多同仁會想使用線上PDF 轉檔合併服務,才能及早地把報表交出去。但是,各位真的知道文件上傳出去之後,這些提供PDF服務的網站真的會如實地把暫存檔清除嗎?

PDFOnlie 是一個大約10年前(2013-2015年間)流行的免費 PDF 線上轉檔服務,使用者可以將檔案上傳到平台進行轉換編輯合併等動作。然而,PDFOnlie 的預設設定是公開檔案,這表示任何人都可以在網上搜尋到這些檔案,包含一些機密文件。許多使用者沒有注意到這個設定,使得任何人都可以在Google 搜尋中打入 XXXX sharepdf, 就可以看到一堆被上傳轉檔的PDF文件。例如: 「履歷表 sharepdf」、「薪資單 sharepdf」等等,驚動了當時的網路界。為此各政府單位還緊急發送資安宣導

線上轉PDF並分享的服務(PDF Online),解決緊急的PDF轉檔需求,
但沒想到許多人上傳檔案後,忘記把檔案設成保密。

這個案例說明了使用線上轉檔服務時需要注意的資安風險。 因為一旦未加密的機敏檔案交到別人手中,就等於幾乎失去了對這個檔案的控制力。該服務的管理者,要做任何違法侵害的事,都是無法避免的。

另外,根據台灣電腦網路危機處理暨協調中心(twcert.cc)轉述相關報告,PDF本身的加密技術也不完善,主要是市面上的PDF檢視軟體與瀏覽器插件(Plug-in)常被駭客破解。因此若同仁們需要寄送加密的資料,目前最好的方式還是透過其他方式打包加密(如ZIP檔使用AES256加密法)

若真的有常使用處理PDF檔的需求,可申請安裝免費版的離線PDF檔案處理軟體,以避免將資料檔案傳給陌生人。我們會在近期開始宣導並列入管理規範,禁止使用外部的PDF服務網站處理公務,敬請各位同仁協助宣導配合,若有任何需求或諮詢,歡迎隨時與分機88583連繫。


延伸閱讀:

  1. 台北市政府資訊局發布之資安宣導
  2. PDF 檔案加密標準發現安全漏洞,常見 PDF 檢視軟體均不安全




留言

張貼留言

這個網誌中的熱門文章

手把手教您如何使用密碼金鑰(PassKey),保護您的雲端帳號

圖片
相信同仁都有使用Google的雲端服務。有些部門甚至使用Google 的表單,來記錄並處理重要的工作記錄、收集同仁或客戶的個人資料。在 去年9月號的資安月刊 ,我們曾教導同仁使用驗證APP的方式,透過配對過的手機産生動態碼的方法,讓系統驗證您是本人使用服務。但這個方式在配對與使用上,仍然有些過程讓人感到不便: 配對後,資料儲存在手機,驗證APP到處都有人在寫,配對資料的儲存方式是否安全,令人擔憂。 每次驗證時都要空出手來輸入動態碼,非常麻煩。 圖:眾多雲端服務都導入了Passkey的機制,如此將迎來無密碼即可通行的時代。 今天我們想要來分享一種更新、更好用且更安全的驗證服務:密碼金鑰 PassKey,希望大家能很快地熟悉後,未來都可以不需要再擔心密碼長度的問題,也可以確保自己存放的資料不會被偷被盜。 一、什麼是PassKey? 隨著數位安全威脅日益增加,傳統的密碼系統面臨越來越大安全挑戰,定時更改密碼亦成了大家的惡夢。為了應對這些威脅,一種名為「PassKey」的新技術應運而生。當使用者在支援PassKey的網站或應用程式註冊時,系統會生成一對密鑰,分別儲在伺服器和用戶的設備(如:手機),在登入過程中,使用者可以透過生物識別(如指紋、臉部辨識)或本地端的PIN碼進行解鎖設備,完成登入操作,簡化傳統密碼帶來的繁瑣。 PassKey是基於FIDO2和Web Authentication標準發展而來,已被主流平台和瀏覽器廣泛支持,是一種新型的身份驗證方式,旨在取代傳統密碼,提高安全性和使用便利性。台灣的金融服務亦採用FIDO2的規格,可見PassKey的安全性已無庸質疑,是個現代人可以信任的新興驗證科技。 目前同仁的電腦大多都沒有生物辨識的功能,因此我們將介紹使用手機來進行PassKey驗證。像有些單位使用共用的Google 帳號,就可以透過配對數位同仁的手機設定PassKey,達到只有這些同仁可以登入使用該帳號。 二、如何為我的Google雲端帳號設定使用手機來執行PassKey驗證機制? Step 1:首先, 請確認您的手機系統已更新到最新版、使用手機系統原生的密碼管理工具。 部分舊的iPhone 手機無法更新到iOS 17版以上,或是Android手機系統無法更新的 Android 14版以上,可能無法使用完整的跨裝置進行PassKey驗證的功能。 查看Androi...
閱讀完整內容

(科技與法律)用AirTag 追蹤器跟蹤別人,是否違反個資法?

圖片
在當今數位時代,定位資訊已成為日常生活的一部分。然而,這些資訊是否構成個人資料?使用 AirTag 追蹤他人是否合法?這些問題涉及個人隱私權、刑法與個資法的適用範圍,值得深入探討。 什麼是 AirTag? AirTag 是蘋果公司於 2021 年推出的一款藍牙追蹤裝置,設計用於幫助使用者找回遺失物品,例如鑰匙、錢包或背包行李箱等等。 AirTag 透過 Apple 的「尋找」(Find My) 網路運作,利用附近的 Apple 設備匿名回報其位置,讓使用者能夠在 iPhone、iPad 或 Mac 上追蹤物品的所在位置。然而,AirTag 也因其小巧隱密的特性,被不法人士濫用於秘密追蹤他人,導致隱私與法律上的爭議。 什麼是個人資料? 根據 《個人資料保護法》第 2 條 ,個人資料指: 姓名、出生年月日、國民身分證統一編號、護照號碼 特徵、指紋、婚姻、家庭、教育、職業 病歷、醫療、基因、性生活、健康檢查、犯罪前科、 聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 而 GPS 長時間記錄的定位資訊可揭示個人的「社會活動」 模式,已被台灣法院認定為間接識別之個人資料。因此,未經當事人同意擅自蒐集、使用 GPS 追蹤資訊,的確有可能違反個資法。 圖:坊間已出現號稱可以維持十年電力的Airtag 追蹤電池盒 使用 AirTag 追蹤他人是否合法? 蘋果公司在其官方免責聲明中強調:「AirTag 設計的目的僅供追蹤物品,而非個人。」若將 AirTag 用於追蹤他人,可能違反當地法律。為防止濫用,蘋果已設計「防追蹤機制」,如 iPhone 會偵測陌生的 AirTag 並發送警告,安卓用戶亦可透過應用程式進行偵測。這使得被害人更容易發現並提出法律訴訟。 相關法律規範與案例 在台灣,未經同意使用 GPS 或 AirTag 追蹤他人,除可能觸犯 《個人資料保護法》第 41 條 外,還可能觸犯 《刑法》第 315 -1條 (妨害秘密罪:「無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者」),最重可處 3 至 5 年有期徒刑。實務案例中, 2014 年「新光公主案」即是一例 。新光集團長公主吳欣盈的配偶為調查其行蹤,在其車輛安裝 GPS 追蹤器,法院最終認定此行為侵犯隱私權,構成妨害秘密罪。 如何合法蒐證? 若有正當需求,建議採取合...
閱讀完整內容