圖片來源: 

翻攝自法務部調查局官方網站

去年8月發生的臺北市政府衛生局個資外洩案,法務部調查局於今年1月2日,正式對外公布調查結果,共有約298萬的市民資料被駭客竊取,而調查的相關跡證中,也顯示臺灣有10多個政府機關、公立醫院、大學與企業網站被入侵。

同時,臺北市衛生局也在同一日,發出公衛系統個資外洩的公告,說明了調查局的調查結果,確認不當存取來源IP是在境外,遭不當存取資料為北市97年度的戶政資料,數量達298萬餘筆,其中的資訊包含了姓名、生日、身分證字號、地址等。

關於這起事件,是因為去年臺北市政府配合行政院執行資安前瞻計畫,為盤點資安風險,由資訊局委託資安業者戴夫寇爾進行紅隊演練時,在情資蒐集階段,即發現地下網站有人販售臺北市衛生局個資,當下通報給北市資訊局,市政府即依照資安通報程序作業,並在2018年8月28日向調查局報案。同年9月,此事開始有媒體發布報導,而調查局在歷經數月的偵察後,在同年11月初調查完畢,並於今年1月2日正式對外公告。

關於臺北市衛生局系統個資被駭,法務部調查單位這次揭露了相關攻擊流程。簡單來說,駭客先是入侵中小企業網站,利用網站漏洞在網站植入木馬,滲透成功後即建立具管理者權限的帳號,接著使之成為跳板,並向衛生局資訊系統發動攻擊。

值得注意的是,調查局特別指出,「駭客首先鎖定資安防護較差之中小企業網站,利用網站漏洞植入名為一句話木馬之網頁型後門」。這裡的一句話木馬,指的是在網頁中插入「一行」指令,利用網頁的GET或POST以傳送指令文字,然後以此接收、解譯指令,並直接在網站執行。

關於這次個資外洩的時間點,在調查局揭露的資訊中也提出說明。臺北市衛生局曾在2014年與2017年遭到攻擊,駭客透過操控的跳板掃描該局的主機,發現木馬而加以利用,並在2017年3月,就已經入侵並竊取了個資。也就是說,這起個資外洩事件隔了一年多,才因資安檢測而被發現。

至於地下網站販售北市衛生局個資的罪嫌,調查局也有進一步分析,發現對方手上握有全球90億筆個資,來自全球38國及1,509個網站。因此,調查局正透過國際司法組織共同追查。然而,過去我們也曾看到資安公司揭露,在地下網站銷售大量外洩個資的人,有些是負責牽線的掮客,這部分調查局並未多做說明。

另一點要注意的是,調查局指出,成為攻擊衛生局跳板的小企業網站,疑似來自中國的駭客所為,而且,從這次調查的相關跡證中,不只是臺北市衛生局,還發現臺灣有10餘個政府機關、公立醫院、大學與上市公司網站遭入侵。由於部分國內媒體報導有近40個組織單位遇害,因此後續我們向調查局確認,他們僅表示偵辦單位提供的資料,就是調查局官方網站上所稱的10餘個。此外,對於這些機關、企業的名稱,他們則表示並未對外公布。

無論如何,這次的事件也該讓我們警惕,國內可能還有許多網站或系統被入侵,尚未被發現,等到調查時才知道被駭。而且,那些被植入木馬成為跳板的國內中小企業網站,也是需要被正視的問題,因為他們其實也成為攻擊事件的共犯。

同時,調查局也提醒,不只是中國駭客的威脅,近期還發現到俄羅斯與東歐等國家駭客,對臺灣網路的攻擊活動,有日益頻繁與嚴重的跡象,他們也將持續關注。

綜觀國際上針對醫療系統的個資竊取,在2018年發生的事件並不少,不只是臺北市衛生局,還有新加坡SingHealth醫療系統遭駭客入侵,有150萬人個資外洩,政府醫療網站HealthCare.gov的健保申報系統也遭駭,有7.5萬筆個資被竊取。顯然,醫療系統的個資竊取,將是全球都需關注的議題。

至於發生個資外洩的臺北市衛生局,他們也表示將提升資安防護,將從策略面、管理面與技術面下手,包括像是增加資安經費與資安人力,並由資訊局協助衛生局將系統移至更安全的環境,還有擴大資訊安全管理制度驗證範圍,加強資訊委外安全管理等,並期望完善資安監控機制,並做好資安事件處理。

臺北市衛生局也在1月2日,發出公衛系統個資外洩的公告,當中也說明了該次事件經調查局調查,確認不當存取來源IP為境外,不當存取資料為北市97年戶政資料298萬餘筆,包含姓名、生日、身分證字號、地址等。對此,臺北市衛生局也說明後續處理作為,將增加資安經費與人力,擴大資安管理驗證等,並希望從技術面建立更完善的資安監控,做好資安事件處理。(圖片來源:擷取自臺北市衛生局官方網站)


Advertisement

更多 iThome相關內容