北市衛生局遭駭一案調查公布，298萬個資被竊，10多個公部門與企業網站也遇害

去年8月發生的臺北市政府衛生局個資外洩案，法務部調查局於今年1月2日，正式對外公布調查結果，共有約298萬的市民資料被駭客竊取，而調查的相關跡證中，也顯示臺灣有10多個政府機關、公立醫院、大學與企業網站被入侵。

同時，臺北市衛生局也在同一日，發出公衛系統個資外洩的公告，說明了調查局的調查結果，確認不當存取來源IP是在境外，遭不當存取資料為北市97年度的戶政資料，數量達298萬餘筆，其中的資訊包含了姓名、生日、身分證字號、地址等。

關於這起事件，是因為去年臺北市政府配合行政院執行資安前瞻計畫，為盤點資安風險，由資訊局委託資安業者戴夫寇爾進行紅隊演練時，在情資蒐集階段，即發現地下網站有人販售臺北市衛生局個資，當下通報給北市資訊局，市政府即依照資安通報程序作業，並在2018年8月28日向調查局報案。同年9月，此事開始有媒體發布報導，而調查局在歷經數月的偵察後，在同年11月初調查完畢，並於今年1月2日正式對外公告。

關於臺北市衛生局系統個資被駭，法務部調查單位這次揭露了相關攻擊流程。簡單來說，駭客先是入侵中小企業網站，利用網站漏洞在網站植入木馬，滲透成功後即建立具管理者權限的帳號，接著使之成為跳板，並向衛生局資訊系統發動攻擊。

值得注意的是，調查局特別指出，「駭客首先鎖定資安防護較差之中小企業網站，利用網站漏洞植入名為一句話木馬之網頁型後門」。這裡的一句話木馬，指的是在網頁中插入「一行」指令，利用網頁的GET或POST以傳送指令文字，然後以此接收、解譯指令，並直接在網站執行。

關於這次個資外洩的時間點，在調查局揭露的資訊中也提出說明。臺北市衛生局曾在2014年與2017年遭到攻擊，駭客透過操控的跳板掃描該局的主機，發現木馬而加以利用，並在2017年3月，就已經入侵並竊取了個資。也就是說，這起個資外洩事件隔了一年多，才因資安檢測而被發現。

至於地下網站販售北市衛生局個資的罪嫌，調查局也有進一步分析，發現對方手上握有全球90億筆個資，來自全球38國及1,509個網站。因此，調查局正透過國際司法組織共同追查。然而，過去我們也曾看到資安公司揭露，在地下網站銷售大量外洩個資的人，有些是負責牽線的掮客，這部分調查局並未多做說明。

另一點要注意的是，調查局指出，成為攻擊衛生局跳板的小企業網站，疑似來自中國的駭客所為，而且，從這次調查的相關跡證中，不只是臺北市衛生局，還發現臺灣有10餘個政府機關、公立醫院、大學與上市公司網站遭入侵。由於部分國內媒體報導有近40個組織單位遇害，因此後續我們向調查局確認，他們僅表示偵辦單位提供的資料，就是調查局官方網站上所稱的10餘個。此外，對於這些機關、企業的名稱，他們則表示並未對外公布。

無論如何，這次的事件也該讓我們警惕，國內可能還有許多網站或系統被入侵，尚未被發現，等到調查時才知道被駭。而且，那些被植入木馬成為跳板的國內中小企業網站，也是需要被正視的問題，因為他們其實也成為攻擊事件的共犯。

同時，調查局也提醒，不只是中國駭客的威脅，近期還發現到俄羅斯與東歐等國家駭客，對臺灣網路的攻擊活動，有日益頻繁與嚴重的跡象，他們也將持續關注。

綜觀國際上針對醫療系統的個資竊取，在2018年發生的事件並不少，不只是臺北市衛生局，還有新加坡SingHealth醫療系統遭駭客入侵，有150萬人個資外洩，政府醫療網站HealthCare.gov的健保申報系統也遭駭，有7.5萬筆個資被竊取。顯然，醫療系統的個資竊取，將是全球都需關注的議題。

至於發生個資外洩的臺北市衛生局，他們也表示將提升資安防護，將從策略面、管理面與技術面下手，包括像是增加資安經費與資安人力，並由資訊局協助衛生局將系統移至更安全的環境，還有擴大資訊安全管理制度驗證範圍，加強資訊委外安全管理等，並期望完善資安監控機制，並做好資安事件處理。

臺北市衛生局也在1月2日，發出公衛系統個資外洩的公告，當中也說明了該次事件經調查局調查，確認不當存取來源IP為境外，不當存取資料為北市97年戶政資料298萬餘筆，包含姓名、生日、身分證字號、地址等。對此，臺北市衛生局也說明後續處理作為，將增加資安經費與人力，擴大資安管理驗證等，並希望從技術面建立更完善的資安監控，做好資安事件處理。（圖片來源：擷取自臺北市衛生局官方網站）