ON「LINE」資料到底放在哪? Line日本個資外洩疑慮風波
從政府公告到私密訊息;從上司命令到親友出遊;從好康優惠到付費帳單,單就本島來看,雖有著FACEBOOK、TELEGRAM、WHATSAPP等等眾多的相似產品,但LINE毫無疑問的是從學生到老人都不得不用,堪稱獨霸一方的通訊軟體。甚至到了有政府單位成立LINE群組討論市政國政的地步。
但意外的,鮮少有人會討論LINE是否安全的相關疑慮,更廣泛來說,甚至連本課程(資訊科技與社會 中興大學通識課)也沒怎麼討論到韓國公司相關的資安議題,是韓國資安很安全嗎?亦或只是比起中美日稍顯沒存在感一點所以沒特別去討論?基於這個疑惑我意外得找到了距今不久前(撰寫日五月底),有關於LINE在日本爆發資安問題的事件。
(1) 事件相關內容
以下就〈LINEの情報が中国と韓国に流出? 記者会見を詳細レポート〉 來簡述事件相關內容(渣翻+GOOLE翻譯支援)
日本LINE官方於3月23日、對關於中國相關企業可以查看使用者資料相關問題開記者會並公開道歉。來自媒體的「資料外流後,有被盜用的疑慮」「健康保険証(類似健保卡)的資料真的是韓國在管理嗎?」之類的問題相繼而至。[1]
首先,LINE日本CEO出澤剛先生先舉出了官方發現的三個問題(圖一)
圖一(資料來源https://news.mynavi.jp/article/20210324-line/)
1、 個人資訊相關業務在中國外包企業執行
2 、 LINE-Talk上的圖像影片對話等由國外(文中特別指出韓國)保管
3 、 隱私權政策並未明示國名
關於以上三點的細部說明,日本LINE與中國5家承包商進行業務合作,業務內容為檢視LINE Timeline、LINE OpenChat、LINE通報(檢舉功能)中是否含有垃圾郵件或釣魚訊息、未成年援交等等內容的監控工作(圖二)。此外,LINEPAY的交易紀錄與使用者資訊目前都存放在韓國的資料庫中(圖三):
圖二(資料來源https://news.mynavi.jp/article/20210324-line/)
圖三(資料來源https://news.mynavi.jp/article/20210324-line/)
對此,LINE日本的應對方法,由ITmedia NEWS的〈LINE、中国での開発を終了 保管データは日本へ完全移行〉 中有寫道:
『LINE於3月23日,終止了於中國的開發、維護與運作的相關業務,並計畫將至今為止保存在韓國資料中心的影片、圖片與文字資料全部轉移到日本本土(圖四)。[2]』
圖四(資料來源https://www.itmedia.co.jp/news/articles/2103/23/news124.html
)
此事件也在台灣〈日本LINE公司出包 中國業者可查看日本用戶個資〉與美國〈Japanese
government warns Line over insufficient data protection〉等等都有相關記載,但內容都稍顯簡略且大同小異,在此就不再做贅述。
延伸資料:日経ビジネス-〈LINE利用者を不安に陥れる「毛沢東思想」〉
(2)
台灣LINE的安全性
看到這裡,想必我們最大的問題絕對不是日本LINE後來怎樣了,而是「那台灣的LINE安全嗎?」以下再以此問題簡單討論──
1.
LINE本身如何保護使用者安全
在Line台灣部落格〈認識LINE的點對點加密功能:Letter Sealing(訊息保護)〉中提及其訊息保護是利用名為點對點加密的方法保護使用者的安全。而所謂的點對點加密,在〈降低被監控的風險,常用通訊軟體哪個最安全?〉一文中有著更詳盡的解釋,以下引用片段說明:
『隨著使用者越來越注重隱私,為了要消除這個弱點( client to server encryption),點對點加密就成了更受歡迎的一種通訊加密方式,利用這種加密方式,只有訊息發送方跟接受方可以知道訊息真實內容,以技術上來說,就表示只有收發兩方擁有可以解密的鑰匙,加密跟解密的行為也只有收發兩端會進行。為什麼很多通訊軟體在轉換裝置的時候需要使用者手動備份對話紀錄
(比如 LINE),這就是因為伺服器端並沒辦法解密你的對話紀錄也沒有保存。基本上這個功能跟隱私性是互斥的,為了要讓用戶保有隱私就必須捨棄這個功能。[3]』
如上述解釋,LINE給予我們得解釋是:你的訊息即便是服務商端的我們也沒辦法解密看到裡面的內容。由以上的點對點加密來解釋的話就顯得十分站得住腳,然事實究竟如何?或許我們該給它一點信心,但也不應完全信任它。
延伸資料:Line台灣:〈LINE 加密技術報告 (Encryption Report)〉
TWISC(資通安全研究與教學中心暨聯盟):
2.
資料存放在哪?
有趣的是,LINE台灣也在第一時間了解到用戶的不安,於3月17日就發布了〈LINE用戶資料相關說明〉 內文除了聲明LINE 都不會單方面配合政府隨意調閱用戶資料,也不會配合監聽或審查。[4]和上面提及的點對點加密外,於第一點也特別說明了LINE 的全球(包括台灣)用戶資料只存放於韓國和日本,不存放在中國,[5]請大家安心。此內容在中央社〈日本LINE出包 公司:台灣用戶資料未放在中國〉也有相關記載。
(3)
資料放在國外安全嗎?
「因為不在中國所以很安全」這個想法,在目前社會風氣下看似是正確的,但實際又如何呢?這邊舉一個〈男大生傳170張「蘿莉」不雅照 遭FBI通報結局出爐〉新聞為例,就可以發現當資料存放在國外能供國外單位查看時,相對應的資安風險就會產生。因此對於使用者而言,正如〈導入G Suite前的考量之四 安全性的考量〉所說:『所有針對安全性與風險的討論最終都會導向一個結論:提供資料儲存的服務商是否值得信賴。[6]』不使用不值得信任的服務商是使用者自身的責任。
但在另一方面,對在地服務商來說,也希望能負起保護使用者的責任,也期待Line台灣能學習Line日本一樣將資料中心帶回國內,而非讓使用者資料暴露於風險之中。
[1] 參考自網路資料https://news.mynavi.jp/article/20210324-line/
[2] 參考自網路資料https://www.itmedia.co.jp/news/articles/2103/23/news124.html
[3] 參考自網路資料https://technews.tw/2021/01/14/common-communication-software/
[4] 參考自網路資料https://linecorp.com/zh-hant/pr/news/zh-hant/2021/3677
[5] 參考自網路資料https://linecorp.com/zh-hant/pr/news/zh-hant/2021/3677
[6] 參考自網路資料https://tscloud.com.tw/gsuite/explore/security