• 發布單位:TWCERT/CC
• 更新日期:2023-01-09
• 點閱次數:6335

美國聯邦通訊委員會（Federal Communication Commission, FCC）日前提出新規定，將加強執行聯邦法律，通令各電信業需加快用戶相關資料遭竊外洩事件，提早通報以讓用戶知悉。

FCC 的新規定，包括刪除目前各電信業者在發布用戶資料遭竊通報前需間隔七天的規定，且要求電信業者一旦發生較大入侵事件時，需同時向多個聯邦機關提出通報，包括聯邦調查局（Federal Bureau of Investigation, FBI）、美國特別勤務局（Secret Service）與 FCC。

FCC 對外指出，該局為了加快用戶獲悉自身個資可能遭竊的速度，刪除顯已不合時宜的七天通報間隔日期，並要求電信業者同時通報多個相關聯邦機關，以確保相關機關可在第一時間掌握駭侵事件，

FCC 先前對電信業者與 VoIP 業者發生駭侵事件的通報規定，係發布於 2007 年；鑑於近年來駭侵事件的速度、強度和影響層面不斷提升，舊有法規顯已不符時代需求，因此刪除間隔七日才發布通報的規定，希望能強化處理速度。

近年來美國相關電信業者接連發生用戶資料遭竊的駭侵事件，如 2022 年 12 月 有 Comcast Xfinity 的二階段用戶登入驗證遭駭侵者跳過竊取資訊、10 月 Verizon 的預付卡客戶信用卡資訊遭竊、4 月時 T-Mobile 遭 Lapsus$ 侵入其內部系統發動勒贖攻擊等。

鑑於電信業者擁有大量用戶機敏資訊，因此常為駭侵攻擊的最佳目標；除電信業者本身應不斷提高資安防護措施外，用戶也應加強自身資安防護能力，例如使用複雜登入密碼、啟用二階段登入驗證，且不任意提供登入資訊給不明人士。