新加坡共享單車oBike資料外洩發言人：只影響小部分用戶

新聞整理：周慧儀 共享單車oBike資料外洩，其位於新加坡的總部正審查該應用軟體的安全性。 {"name":"tnl_a_p2","type":"general","size":[[640,480],[640,360],[300,250],[1,1]],"mapping":[{"screen":[970,0],"list":[[640,480],[640,360],[1,1]]},{"screen":[336,0],"list":[[300,250],[1,1]]}],"targeting":{"advertising":"0","cabinet":"85111","page_key":"article","page_name":"article","tag_key":[2164,80,144309,125229],"tag_name":["東南亞","新加坡","oBike","資料外洩"],"author_key":"aseanindochina","author_name":"關鍵評論網 ASEAN：Indochina","category_key":"world","category_name":"國際","type_key":"news","type_name":"新聞","channel_key":[null],"channel_name":[null]}} 德國巴伐利亞廣播電台（ Bayerischer Rundfunk）指出，oBike遭受網路攻擊，受影響用戶包括德國、馬來西亞、新加坡、瑞士和英國等。 其公司發言人證實此消息，表示受影響的只是一小部分用戶，並稱「作為（我們）一家科技公司，用戶的資料和安全對我們至關重要。」他補充，外洩的資料僅限於用戶的姓名、電郵以及手機號碼，因該公司不會儲存用戶的信用卡資料以及密碼。 然而，該發言人拒絕透露具體有多少用戶受影響，包括他們來自什麼國家。 據悉，用戶的資料會外洩在於oBike的應用程式介面（API）中的一個缺口導致的，該程式介面主要允許用戶將他們的朋友推薦到公司平台。公司發言人稱，該缺口已經修復並且恢復。 {"name":"tnl_a_p6_special","type":"general","size":[[640,480],[640,360],[320,480],[300,250],[1,1]],"mapping":[{"screen":[970,0],"list":[[640,480],[640,360],[1,1]]},{"screen":[336,0],"list":[[320,480],[300,250],[1,1]]}],"targeting":{"advertising":"0","cabinet":"85111","page_key":"article","page_name":"article","tag_key":[2164,80,144309,125229],"tag_name":["東南亞","新加坡","oBike","資料外洩"],"author_key":"aseanindochina","author_name":"關鍵評論網 ASEAN：Indochina","category_key":"world","category_name":"國際","type_key":"news","type_name":"新聞","channel_key":[null],"channel_name":[null]}} 針對此，新加坡個人資料保護委員會（Personal Data Protection Commission）表示已獲悉oBike資料外洩一事，並已向對方瞭解更多細節。 競爭對手 ofo 和 Mobike 的回應 作為回應，oBike的競爭對手「ofo」表示「不收集、處理或存取任何有關用戶的數據和信息」。ofo亦指出公司不會連結用戶的手機號碼和姓名作為識別，且不會在沒有獲得用戶許可和警方的要求下，分享用戶的資料。 另一邊，Mobike表示自身擁有「強大的數據管理協議」以保護用戶的資料，若未經用戶同意，不會向第三方共享任何資料。 Obike、ofo、Mobike三家業者已加入新加坡共享單車服務的戰局，前者來自新加坡公司，後兩者則來自於中國公司。共享單車的服務成了新加坡通勤族的一大福音，可以利用單車減少公車轉乘的等待時間；此外，使用者不必到固定停放站取車和換車，使用方式也可以簡單上手。 {"name":"tnl_a_p10","type":"general","size":[[640,480],[640,360],[300,250],[1,1]],"mapping":[{"screen":[970,0],"list":[[640,480],[640,360],[1,1]]},{"screen":[336,0],"list":[[300,250],[1,1]]}],"targeting":{"advertising":"0","cabinet":"85111","page_key":"article","page_name":"article","tag_key":[2164,80,144309,125229],"tag_name":["東南亞","新加坡","oBike","資料外洩"],"author_key":"aseanindochina","author_name":"關鍵評論網 ASEAN：Indochina","category_key":"world","category_name":"國際","type_key":"news","type_name":"新聞","channel_key":[null],"channel_name":[null]}} 然而，新加坡也因此面臨單車遭胡亂停放的管理問題，oBike也曾接獲相關的抱怨電話。儘管如此，新加坡人民仍相當看好這項單車共享服務，並認為單車遭胡亂停放只是短暫的過渡期，因為新加坡是尊重法紀的花園城市。 最近，新加坡新民中學學生的個人資料也遭外洩，遭上傳至免費的資源網路社群pastebin.com。而該校已經和教育部加強合作，希望有效實施保安措施。 今年11月，叫車服務公司Uber坦承遭駭客入侵，導致全球5700萬乘客和駕駛的個人資料外洩。而Uber日前已說明已經採取必要措施保護資料，並且強化Uber的資料防護效能。 然而，Uber當時並沒選擇向有關當局通報資料外洩一事，而是向駭客支付了10萬美元，要求對方刪除資料。為此，兩名高層因為隱瞞此事而被撤職。 對此，Fortinet（知名網路安全領導廠商）安全研究總監David Maciejak表示「令人傷心的現實是，這類事件越來越普遍。」 他說道，人們應該採取措施保護自己的資料，比如使用為用戶提供一次性信用卡號碼的虛擬信用卡。Akamai安全部門技術長Michael Smith也建議人們不要在多個網站和應用程序中重複使用密碼，並建議用戶使用線上密碼管理工具如LastPass，以保護個資的安全。 什麼是API？ API（Application Programming Interface）稱之為應用程式介面口，或稱應用編程介面，是一組定義、程式及協議的集合，通過API介面實現電腦軟體之間的相互通信。API的主要功能是提供通用功能集，同時也是一種中間件，為各種不同平臺提供數據共用。由於近年來軟體的規模日益龐大，常常需要把複雜的系統劃分成小的組成部分，編程介面的設計十分重要。 《海峽時報》報導，分析表示，頻密地使用API——允許各種不同的軟體元件相互溝通——意味著這將特別容易受到攻擊。Michael Smith進一步指出儘管API的使用愈加重要，然而對於如何防護它們的知識和歷史卻少之又少。 RSA信息安全公司東南亞和大中華地區高級總監Edward Lim表示「需要對API進行更嚴格的測試。」例如，有關公司可以在API開發的每個階段中都納入漏洞評估，而不是在應用程序完成之後。 網絡安全公司F5 Networks亞太地區首席技術員Mohan Veloo就將API描述為公司的雙刃刀，他指出「通過使用API，企業無意中打開了所有數據的後門。」 新聞來源： oBike reviewing app security after international user data leak《The Straits Times》 Uber遭駭5700萬個資外洩 官方已保護資料《中央社》 特派專欄 新加坡無樁共享單車正夯《中央社》 共用腳踏車業者oBike 全球用戶數據外洩《8新聞及時事節目》 延伸閱讀： Uber資料庫遭駭 美5萬名駕駛個資恐外洩 科技法庭時代的「數位卷證」是更方便，還是讓個資更容易被洩漏？ 核稿編輯：李牧宜