作者secretfly (乂o贾霸死鬼o乂(Jquery))
看板Soft_Job
标题[讨论] Email算是严重的个资吗?
时间Sat Oct 14 11:10:29 2023
假设说我注册某个网站 使用的是email
不过那个网站会把你的email放出来
也就是说 所有会员的email都算是外泄了
这样算是很严重的漏洞吗?
似乎是有听说email名单可以卖钱 不过应该没有很值钱?
如果是google的帐号 几乎也没有被盗用的可能(两步骤凭证)
因此想请教各位 若不是大公司的网页 会员数可能没多少
那麽网页的email外泄 是否还算是严重的问题呢?
以上问题感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.85.183.102 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1697253031.A.658.html
1F:→ secretfly: 另外其实也想延伸讨论 若注册时没有此条款 那算不算 10/14 11:11
2F:→ secretfly: 网页的负责人需要担任某种程度的法律责任XD? 10/14 11:11
3F:→ stepnight: 你的个资早就被卖了,怕啥? 10/14 11:22
我考虑的不是我自己的个资 我指的是网页资安的议题
包含网页资料的安全 以及Email作为个资的重要程度
对於我自己的资料我其实不太care XD
4F:→ labbat: 也许刚好有骇客拿到用来登入的加密明文凭证,只要知道信 10/14 11:30
5F:→ labbat: 箱名称就可以替你自己写信给自己了 10/14 11:30
6F:推 qwe70302: 类比成手机号码外泄差不多吧,纯粹外泄email本身没啥用 10/14 11:54
7F:→ qwe70302: ,顶多就像手机一样多收到垃圾诈骗讯息。 10/14 11:54
8F:→ qwe70302: 但如果外泄的内容包含email与持有者的特徵,比如说外泄 10/14 11:57
了解 重点是要有连结
9F:→ qwe70302: 的是一家公司客户名单,那就有可能被竞争对手买走抢客 10/14 11:57
10F:→ qwe70302: 户之类的。或是外泄了公司内部高管的信箱,就会被发钓 10/14 11:57
11F:→ qwe70302: 鱼邮件导致外泄更敏感的权限等等 10/14 11:57
12F:→ alan3100: 看网站有没有服务欧美日 有的话赔到脱裤 10/14 12:10
13F:→ k798976869: 有对到真实姓名 电话 就算 没有就还好 10/14 12:12
原来如此 我看了一下 它没有对应真实姓名 那应该没差
14F:→ stepnight: 怎麽感觉很像在说原价屋 10/14 12:17
这我不知道XDDD
15F:→ k798976869: 不过照欧美法规 用户没同意还是要罚钱 10/14 12:18
16F:→ xatm092: 可以对到某个特定人的话,算!如果有跟欧盟国家合作的部 10/14 12:20
17F:→ xatm092: 分要记得加密,不然罚则很重。 10/14 12:20
感谢各位分享 涨知识++
18F:推 Soros1989: 多少算吧? 像是 apple 登入不就可以选择要不要隐藏真实 10/14 12:34
19F:→ Soros1989: mail 10/14 12:34
对我有发现 还满厉害的功能
不过针对那个随机信箱 似乎还是可以发信给user 不过ID就真的保护起来
不愧是苹果
21F:推 wulouise: 你要主张你的损失吧 10/14 14:19
22F:→ alan3100: 台湾有台湾玩法 全台户政资料早就被盗光了 mail根本小事 10/14 14:27
23F:→ alan3100: 主张损失也是台湾特有笑话 国外被通报泄漏就准备被钉 10/14 14:29
24F:推 atpx: 这问题应该要先去看个资法,从严来说算 10/14 14:49
25F:→ MOONY135: 你的身分证是不是补发的中国比你清楚 10/14 17:53
26F:→ Firstshadow: Email本身不是问题 问题是为何会泄漏== 10/14 18:44
好问题 我可以简单回答你
根据我的了解 那个网站本身是透过第三方登入
藉由apple或是google
然後他本来的设计似乎就是交换信箱 所以资料库有设定email这个data
前端在call API的时候自然就有打出来 只是没有渲染
所以使用者若是check一下开发者工具的network 基本上就是看的到所有人email
除了那些用apple隐藏信箱的人XD
27F:→ ssccg: 可以连结到个人的算个资,Email可以算个资但不是严重的个资 10/14 19:08
28F:→ ssccg: 什麽叫严重? 如果用个资法有特别待遇的项目来说的话,第6条 10/14 19:10
29F:→ ssccg: 病历、医疗、基因、性生活、健康检查及犯罪前科是敏感个资 10/14 19:12
30F:→ ssccg: 如果你要从资安的议题来说,非公开资料栏位外泄当然严重, 10/14 19:15
31F:→ ssccg: 跟是不是个资没有关系,如果只有email没有关系资料不见得算 10/14 19:16
32F:→ ssccg: 个资,且个资也不一定是机密,个资法针对的是蒐集、处理、 10/14 19:19
33F:→ ssccg: 利用个资的过程,有没有故意或过失让他人能不法蒐集、处理 10/14 19:19
34F:→ ssccg: 、利用而造成个资当事人权利受损 10/14 19:20
感谢解说 这方面的确满复杂的欸...
35F:→ superpandal: 可以伪造寄件人阿 最好不要指望这些单位好好保护你 10/15 03:12
36F:→ superpandal: 拥有不同的信箱至少比你绑住一个信箱好 当然你可以考 10/15 03:14
37F:→ superpandal: 虑自建信箱 10/15 03:14
38F:→ superpandal: 但自建有个坏处是会进各大信箱的垃圾邮件 有些可以解 10/15 03:16
39F:→ superpandal: 有些不行 10/15 03:17
※ 编辑: secretfly (219.85.183.102 台湾), 10/15/2023 04:28:25
40F:→ alan3100: email当然是严重个资 只是"台湾法律"上不是 所以滥大街 10/15 11:56
41F:→ alan3100: 好比诈骗可以透过电商泄漏mail 伪造电商email诈骗你 10/15 12:00
42F:→ alan3100: 国外法律的重点是只要能直接或间接"连结"到这个人都算 10/15 12:06
43F:→ brucetu: 第三方登入顶多打登入者的信箱吧搞到其他人的信箱也被看 10/15 13:21
44F:→ brucetu: 到就有问题了 10/15 13:21
45F:→ brucetu: 如果你能取得该网站除了你以外的会员信箱,就是漏洞了 10/15 13:23
46F:推 rahit: 能做身份连结的E-mail蛮有用的 10/15 16:43
47F:→ rahit: 很多网站登陆帐号都是e-mail 10/15 16:44
48F:→ rahit: 或是忘记密码功能等等 10/15 16:44
49F:推 loveu8: 通常是要举证这email跟你本人的连结性,如果能从 10/16 16:27
50F:→ loveu8: email间接或直接对於有直接影响,就有机会,不过还是 10/16 16:28
51F:→ loveu8: 就每个案例,个案分析了 10/16 16:28
52F:推 jobintan: 身为用户,电子邮箱不算啥重大影响,真正的较重大影响是 10/17 07:52
53F:→ jobintan: credit card information,那种稍有不慎就会造成金钱上 10/17 07:52
54F:→ jobintan: 的损失,自己还得与银行周旋的,那才是严重,与那相比, 10/17 07:53
55F:→ jobintan: 电邮不算啥,反正电邮可以是免洗的,懂得都懂。 10/17 07:53
56F:→ ssccg: email位置跟email控制权是两回事 10/17 10:18
57F:→ ssccg: 又不是身分证字号光知道号码就能做很多事,email的特性是一 10/17 10:18
58F:→ ssccg: 个人可以办无限多个成本极低,要连结到特定个人要有条件的 10/17 10:19