【資訊安全】台灣抓漏小天使，查詢你的個資是否外洩！

最後更新日期：2019 年 11 月 19 日

本篇文章將會介紹一個網站：台灣抓漏小天使。

專門給台灣人使用，查詢你的個資是否外洩，重點是完全免費！

2019 年 7、8 月連續有大量的個資外洩事件被報導出來，大多數機構也並不會主動通知使用者個資外洩事件，作者想出了利用單向去識別化的方法幫助使用者確認自己是否在影響範圍內。

起源

本作品為教育部資訊安全人才培育計畫 108年度新型態資安暑期課程 AIS3 2019 資安實務專題競賽之產物。

為什麼想寫這個網站？
看到 2019 年 7、8 月連續有大量的個資外洩事件被報導出來，大多數機構也並不會主動通知使用者個資外洩事件，故想出了利用單向去識別化的方法幫助使用者確認自己是否在影響範圍內。希望台灣的資訊安全觀念可以更進一步的提升，被洩露資訊的單位也能向主管機關以及使用者通報。在 2018 年國泰航空的外洩事件中，很不幸的，我中獎了。但是公司主動通知使用者，並提供 Experian IdentityWorks 個人資料追蹤系統的使用權的做法讓我感到很欣慰，希望台灣的機構也能效法，讓所有人為了個人資料的保護盡一份心力。

主要想法構思來自 Have I Been Pwned 以及 Experian IdentityWorks 兩個網站。

作者因為自己是個資外洩的受害者，所以成立了此平台，希望大家也能查詢自己的個資是否也外洩。

 

技術原理

由於依據我國個人資料保護法所規定之個資搜集方法過於繁雜，故使用 SHA-1 雜湊函數將姓名及身分證字號去識別化後回傳主機，亦可避免開發者暗中搜集使用者個資，提升使用者對本產品的信任。

本網站資料來源皆為匿名人士提供，且本網站並不保存其原始資料，只保存雜湊值以便查詢洩漏情況。
攻擊本網站並無法獲得資料，若攻擊屬實者本網站將依法訴諸法律行動。

若想匿名提供資源，可聯絡 [email protected]，建議可加上 PGP Key C49D4040

本網站為開源專案，站體完整原始碼可在 GitHub 找到，歡迎發送 Pull Request 或 Issue。

技術原理其實很簡單，就是有匿名人士提供外洩資料給平台，但是平台並不是直接拿資料，而是透過 SHA-1 雜湊函數，將姓名跟身分證字號編碼，再儲存於資料庫。

比對的方式也是經由使用者輸入姓名與身分證字號後六碼，進行 SHA-1，再比對是否有沒有與資料庫相符的值。

平台並不會儲存任何使用者輸入的資料，詳細的程式碼都進行開源在 GitHub。

 

使用方式

step 1

首先，進入首頁，點選開始使用。

step 2

進入搜尋頁面，搜尋洩漏紀錄。

輸入你的姓名跟身分證字號後六碼。

step 3

搜尋結果出來後，如果是綠色的那就非常棒，你的個資目前沒有被此平台發現有洩漏的情形，但並不代表沒有外洩。

可以點選訂閱外洩事件，收到最新的外洩通知。

step 4

如果搜尋出來是紅色的，那代表你的個資確定外洩，並會告訴你是在哪裡外洩，外洩了什麼資料。

同時也有幾個選項可以選擇，下面也會稍微介紹。

step 5

如果不放心的直接把資料輸入進去，有另一種方法是分次操作，先自行產生雜湊代碼，再輸入雜湊值去比對。

 

如果個資外洩怎麼辦？

個資一旦被外洩就很難收回，但您可以盡力將傷害降到最低。

例如檢查是否有不同網站共用密碼，注意個資有沒有被拿去註冊奇怪的帳號。

另外密碼也盡量避免使用身分證或生日的組合，以免有心人士透過外洩的個資猜到您的密碼。

密碼最好的方式，就是有大小寫、數字、符號組合而成，而且各平台都使用不一樣的密碼。

或是也可以經由兩步驟驗證的方式，來保障自己的帳號安全。

 

結論

本篇文章介紹一個非常實用的網站：台灣抓漏小天使，是由幾個資安人員一同開發，平台本身是完全免費，也沒有置入廣告，是一個超優質的平台！

如何學習資訊安全？

阿璋這裡介紹幾種學習資訊安全的方式，主要是透過線上課程、社群平台、資安網站。

1. 經典駭客攻擊教程：給每個人的網站安全入門

這堂課提供完整10個小時的線上課程，讓學員建立起網站資訊安全觀念。 由淺至深地講解駭客攻擊原理以及防範方法，並以生動且生活化的譬喻，幫助非程式背景的學員了解內容。

 

2. HITCON ZeroDay

HITCON ZeroDay 是一個讓資安專家通報組織漏洞的可靠平台。一旦 ZeroDay 團隊接獲您的通報，將盡快確認該漏洞之成因及影響，並聯繫該組織有效窗口，在最短的時間內協助組織修正。此外，ZeroDay 平台也將提供漏洞處理進度給通報者，令通報者得以即時了解該漏洞修補的狀況。

我們期待各位的加入及響應，能讓 HITCON ZeroDay 漏洞通報平台成為資安專家和組織間的溝通管道，幫助組織面對、解決資安問題，同時也令組織更加信賴、尊重資安專業人才，一起為更好的資安環境努力。

 

3. Johntool-工具王阿璋

如果不會主動關注一些資安訊息，也不想上課，那就關注阿璋的粉絲專頁以及部落格(文章下方訂閱)，我會不定時的分享一些資安知識！

 

支持阿璋的新書《打開網路就有錢》，裡面分享許多自媒體以及投資理財的知識，非常適合網路創業者以及想要增加額外收入的上班族閱讀。




如果你對幣圈資訊有興趣，可以訂閱此電子報：幣圈最新資訊

我目前有成立一個亞洲最大的幣圈自媒體 Discord 社群：Crypto Mind 加密腦

推坑阿璋超愛的商品，歡迎加入團購群：阿璋好物團購 LINE 社群

12篇文章手把手教你如何透過部落格開始賺錢：站長之路

更多相關社群連結：工具王阿璋社群列表

本站有部分連結與商家有合作關係，透過我的連結購買，我會獲得少數佣金，讓我可以持續營運網站，但並不會影響您的任何權益，詳情查看免責聲明。

如果我的文章對你有幫助，歡迎贊助我一杯咖啡！

本站所有內容皆為阿璋個人經驗分享，如有涉及投資請謹慎評估，阿璋不做任何投資建議。



文章引用請來信索取授權，否則將保留法律追訴權。

by Johntool-工具王阿璋