一、認識網頁隱藏性惡意連結

看到聯合報的一篇報導「全台近千網站 植入惡意程式」，內容是依據知名搜尋引擎Google的統計，全台有九百八十四個網站被植入惡意程式碼，其中不乏知名的台灣奧迪汽車、ESPNSTAR體育台和眾多學術機構或商業網站。民眾瀏覽合法網站，也要當心私人資訊被竊取。

實際上，這個問題稱之為「網頁隱藏性惡意連結」。簡單來說，就是犯罪集團利用入侵的方式，偷偷地改了企業組織或政府機關的網站，不知情的民眾瀏覽網站時，就會在不知不覺的情況下，被植入木馬，個人的資料與隱私將一覽無遺。

早在96年4月9日，蘋果日報即以「ESPN等27個官網遭駭 調局偵辦」的新聞標題，批露這個嚴重的網路安全問題。只是當時許多企業基於自己企業的形象，以及對於此種犯罪手法的陌生，不反省自己的網站有沒有漏洞，卻只會高喊「我沒有，我沒有，都是報導亂說！」

這種強辯之詞、輕忽與欠缺防範知識的結果，讓信任及瀏覽這些企業網站的民眾，暴露在高度危險之中。結果是民眾瀏覽網站後，遭植入惡意程式，個人機密的資料遭到犯罪集團竊取。

二、網站被入侵，企業該負擔什麼責任？

這個苦果卻要民眾負擔，合理嗎？

當然不合理。

可是民眾要證明自己遭植入木馬，是因為瀏覽網站的結果，再技術上卻難倒了一般民眾。無法舉證的結果，驗證法律上著名的一句話「舉證之所在，敗訴之所在」。

即便企業真的發現遭到入侵，為了掩飾過錯，能不承認就不承認，這種烏龜心態實不可取。

其他國家的經驗是如何呢？

以美國為例，有許多法律，如加州的資料庫安全違反通知法(California Database Security Breach Notification Act)，都要求企業遭入侵而洩漏資料時，都要立即通知相關人，以進行損害控管。美國知名企業CardSystems Solutions為例，該公司負責管理VisaCard、MasterCard的信用卡客戶資料，竟遭駭客入侵竊取，引發卡戶極大的恐慌。相同場景如果移至台灣，恐怕能遮掩就遮掩，最好民眾都不知道資料被偷了，致使風險控管的黃金期就迅速流逝。實際上也確實是如此，沒看過有台灣企業的網站公告說：「我的網站被入侵了，請大家小心！」

三、值得鼓勵的司法院

最近發現一個勇於公告的網站，就是司法院網站，要特別鼓勵一下。話說大砲開講網站警告司法院網站被植入隱藏性惡意連結，只見司法院網站馬上關站整修，過了幾天之後，也順利修復。更針對此事件，進行公告，其公告內容要旨如下：

--------------------------------------------

(一)本院網站於日前發現遭駭客入侵，被植入連接不明網站的程式碼，本院已於○月○日下午○時完成修復。

(二)於○月○日○時○分至○月○日○時○分期間，曾進入本院首頁者，您的電腦可能感染惡意程式(電腦病毒或間諜軟體)，請儘速使用下列方法進行補救：...

(三)如果您進行了上列步驟，仍懷疑您的個人電腦有問題時，建議您先備份個人資料，再將作業系統重新安裝。

四、對於因電腦作業系統的安全漏洞，被駭客利用，本院與各為網友同是受害者，在此，謹向各位網友致歉，本院除前述的緊急措施外，亦已進行研擬更嚴格的網站安全管理措施，未來將提供一個更安全的網站服務供大眾使用。...

--------------------------------------------

筆者每天大概都要連上司法院網站，當時好像有中毒，不知道可不可以主張國家賠償？

四、法律，你比Google公告還沒用

如第二張附圖，只要民眾用關鍵字尋找特定網站時，Google會以「警告-造訪這個網站可能會損害您的電腦！」以Google在搜尋引擎界的實力，根本就是宣告網站的「死刑」。尤其是對於商業網站，根本就不要做生意了！這些遭駭客植入惡意連結的網站，也沒有理由再說「我沒有，我沒有，都是報導亂說！」因為，Google這個世界第一的網站，總是有點兒公信力吧！

對於這些被點名的網站，還是有一點不公平，就是Google的資料會有「時間差」的問題。

什麼意思呢？

也就是當企業已經改正之後，因為Google抓取的資料是前一段時間，暫時仍未解除封鎖，民眾也就無法透過Google連結上這些網站，對於這些網站也有些許的不公平。

那怎麼辦呢？

就當作對於這些網站的小小懲罰，受到封鎖的網站只好趕緊找Google協助，幫忙解除封鎖。從另一個商業的角度來觀察，對於Google這也是一大商機，看來Google股價上漲也不是沒有原因的。

Google，真是好樣的！

--------------------------------------

圖片「Google認為會損害電腦的網頁」引自聯合新聞網