國家級警報竟然用 Bitly 網址

Posted on by T.H.

雖然在收到的兩個小時前透過新聞報導,知道北北基的民眾即將收到 cell broadcast 國家級警報,但我昨天收到的時候簡直嚇呆了。

警報報文所傳遞的訊息,字數控制在一定的數量之下,為的是讓民眾可以看到 Google Maps 上的 POI (point of interest),也方便在有限的手機螢幕上完整顯示武漢肺炎的警示。這則報文用了 Bitly 的短網址做轉址。這串短網址是這樣的:

  • http:// bitly.com/2SpSxeT

除非你知道怎麼拆解網址,但單純在手機上是看不出來這是哪個單位發的,也不知道後面轉址過去所拜訪的網址,是一個網頁還是一個檔案。你可以說你相信 cell boradcast 這個機制是政府才有權限使用,訊息的發送管道做得很好,所以我們想都不想點下去市民應盡的義務。但對有經驗的朋友,一開始不起疑竇,大概不太可能。

我們估算本次發送範圍的北北基民眾,大約有七百到八百萬之譜,這個數量的民眾,持有的手機不一定全然支援 cell broadcast。先估個三百萬好了,有至少三分之一的人在60分鐘內會透過這短網址轉址另外一個地點,這尚稱合理的推斷,也是 Bitly 所公布的統計數據。

  • 11:00 AM, FEB 7, 1,136,286 clicks
  • 12:00 PM, FEB 7, 876,519 clicks
  • 1:00 PM, FEB 7, 451,591 clicks
  • 2:00 PM, FEB 7, 239,410 clicks

到目前為止,這個短網址已經被點擊了超過320萬次。這讓我想起有一位在電信業長期服務的朋友,他說他們做手遊的加值服務,過去也用短網址把原本要使用者點選的網址夾帶在簡訊送出。過去點擊率的表現很好,但後來詐騙事件多了(2015年媒體報導某科技公司2016年的分析),大家也有這個警覺,看到不明網址不會亂點。這也難怪,短網址是方便將很長的網址或是帶有各種參數的網址,縮短為一串好記,甚至是可以直接鍵入的方便途徑。

短網址是各種針對消費者進行網路攻擊最常使用的工具之一。如果政府要用短網址,大約十年前美國前任總統歐巴馬還在任內時,就提供了專門給政府單位使用的短網址服務。你可以看到這個服務目前仍躺在這裡。這不是最好的案例,但比較知名:

這個只提供給政府內有權限的人所使用的政府短網址服務, 實務上可以相當程度的確保:

  • 短網址品牌識別來自於美國政府或授權的僱員
  • 短網址所指向的網頁或檔案,是經過政府授權顯示,或是經檢查沒有資訊安全疑慮的
  • 短網址當初是誰創造的,有使用歷程
  • 短網址轉址時會搜集大量的資料,這些網路載具端的行為資料搜集,政府可以管理(如:留存、研究、刪除等)
  • 短網址服務不至於因為瞬間大量使用,造成轉址服務中斷

這次國家級警報使用 Bitly 的短網址,剛好成為可能是台灣歷史上第一個有趣案例:

  • 利用國家級警報,可能是台灣政府首度大規模使用單一短網址
  • 使用美國 Bitly 公司的短網址服務,Bitly 可以隨時砍掉這個短網址,或是讓它無法運作(他們沒有這樣做)
  • 國家級警報直接「廣告」 Bitly 短網址服務的品牌,送了一個超級大禮
  • 至目前為止所創造出超過320萬次的點擊,讓 Bitly 可以搜集到非常好的台灣北部的使用者行為和使用端點(載具)的資料。我不敢想像這可以創造多少未來的商業利益

我不知道這次警報發送時,在發送系統內有無檢查,例如(純討論用):

  • 跑去其他 ccTLD(例如 .ru)的網址要直接在後台上稿時鎖死警示,或是白名單 TLD
  • 或是做防呆處理,如:鍵入不正確的超連結格式,系統就先行跳出出警示等
  • 拒絕鍵入不安全的格式,例如本次是 “http” 而不是 “https”

台灣的各級政府單位使用短網址非常之頻繁,而台灣做短網址服務的商業或團隊,也在 goo.gl 關閉之後如雨落春筍般的上線。但國家級警報不是網路小編挑文放一個短網址在臉書的文章,只是為了服務之後的統計報表所用。更重要的應該是在緊急狀況準確的傳遞訊息給國民,也避免直接鼓勵國民擷取資訊的過程,「不小心」造成大規模短時間被收集行為資料的事實。

這件事是可說是非常好的「教案」,與陳建仁副總統鼓勵民眾拜訪內容農場的網址同樣是在全國公衛防疫壓力的「失常表現」。很多資訊方面的意識在緊急的時候更加重要,在防疫時期,我們更需要政府的各環節內有人把關。這個把關的機制落在單一個人是不明智的,例如做手遊行銷的,絕大多數會知道短網址的可用和不可用的份際。這樣的知識,要能在政府的緊急作業流程內被鼓勵流通。如果沒有這樣的體認,那麼防疫救災之時,就會是資訊安全,個資安全和隱私的修羅場。

其他關注議題:

1 thought on “國家級警報竟然用 Bitly 網址”

  1. 台灣政府歧視不用smart phone / 不上網的國民
    (The Zen of Python: Simple is better than complex, Flat is better than nested…)

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.