日本LINE遭爆資安漏洞?新聞事件背後那些有說沒說的細節懶人包

本月 17號,《朝日新聞》獨家報導1, 2, 3指出LINE在中國的相關企業至少有 4名中國籍技術人員曾無故入侵日本國內用戶資料庫 32次,造成日本政府與民眾的一陣恐慌,擔心LINE的資安管理出現問題。

根據LINE的官方說法,本次事件並非個資外流事件,而是LINE強化公司內部個資保管程序時所發現的資安漏洞。曾無故入侵日本用戶資料庫的中國籍技術人員,皆為LINE的分公司與接受LINE分公司委託的公司員工。此外,按照當時LINE內部的作業規範,這 4名中國籍技術人員確實具有出入日本用戶資料庫的權限。LINE表示,他們早已在發現這個漏洞時,就已封鎖中國公司的日本用戶資料庫存取權限。

因此,本次事件並非個資外流(外流到其他無關LINE業務的他人手中),而是LINE公司內部經營管理的問題——因為這次LINE之所以會發現資安漏洞,和LINE公司內部的經營整合與日本近期修改《個資法》有關。

出包地點剛好都在中國・大連

本次事件的問題出在LINE子公司LINE Plus Corporation在中國大連的子公司「上海連世數字技術有限公司大連分公司(Digital Technology (Shanghai) Limited(大連)」,以及接受LINE Fukuoka委託的一間剛好也位在中國大連的中國公司。

上海連世數字技術有限公司大連分公司

上海連世數字技術有限公司大連分公司的業務,主要是負責:①開發LINE公司內部用的小工具、② AI人工智慧、③ LINE應用程式內部的功能。本次因應LINE內部強化資安層級,LINE已取消了上海連世數字技術有限公司大連分公司開發業務取得下述資訊的權限:

  1. LINE搜查機關相關業務人員用的CMS內容管理系統開發權限(content management system, CMS)
    → 該系統在用戶檢舉訊息後,為了要通報搜查機關,會存放檢舉訊息的用戶姓名、電話號碼、e-mail、LINE帳號及檢舉的訊息內容。關於這部分細節可以參考這裡
  2. LINE審查業務人員用的CMS內容管理系統開發權限(用戶檢舉訊息等內容後,負責確認這些內容是否違反使用者條款)
  3. 客服信箱的開發權限(姓名、電話、e-mail)
  4. LINE虛擬人像功能、LINE應用程式內OCR光學文字辨識功能的開發權限(同意使用LINE虛擬人像功能,即同意LINE公司內部使用用戶上傳的大頭照)
  5. KEEP功能的開發權限(用戶使用KEEP功能時,存放在LINE雲端硬碟的文字訊息、照片、影片、檔案)

委託中國公司協助業務的LINE Fukuoka(福岡)

至於LINE Fukuoka委託的中國公司(沒有公佈公司名稱,只知同樣位在大連,是日本知名業務代理集團在中國成立的公司),沒有取得日本用戶資料庫的權限,但是可以接觸到檢舉訊息的用戶資料。

LINE Fukuoka的業務主要是負責審查用戶檢舉的訊息內容,LINE Fukuoka委託中國公司的業務,也是協助審查用戶檢舉的訊息內容。根據LINE的說法,如果是日本用戶的加密訊息遭檢舉,是由LINE Fukuoka負責審查;但如果是非加密訊息,或是貼文串等公開內容,則由LINE Fukuoka和LINE Fukuoka委託的這間中國公司共同審查。

根據LINE的說法,LINE Fukuoka委託的這間中國公司負責的業務,一天需要處理約 1萬8,000件遭檢舉的貼文串內容、約 7萬4,000件遭檢舉的非加密訊息。

LINE表示,如果是LINE@官方帳號的內容(包含:群發訊息、貼文串和主頁,不含:一對一聊天內容、透過API的對話內容、用戶回應chatbot機器人的回答),一律是由LINE Fukuoka負責監控/審查。

LINE在中國還有NAVER China(北京世聯互動網路有限公司)

LINE也強調,LINE在北京還有NAVER Corporation在中國成立法人的「北京世聯互動網路有限公司(NAVER China」,NAVER China無法取得日本、台灣、泰國和印尼用戶的資料,NAVER China只負責審查這 4個國家以外的用戶資訊。

前往下一頁繼續閱讀:時間點撞Yahoo! Japan和LINE經營整合不是意外