銓敘部外洩公務人員個資,包括當事人姓名與身分證字號,以及公務機關的升遷歷程外,並沒有包含個人的手機號碼在內。

圖片來源: 

iThome

銓敘部外洩59萬筆公務人員個資,影響超過24萬名公務人員的資安事件,因為包含許多國家情治人員的資料也在外洩清單中,行政院資安處亦將此資安事件定義為「第三級資安事件」,後續影響餘波盪漾。

其中,有多家臺灣媒體報導,此次外洩個資中,除了姓名和身分證字號外,還有個資當事人的手機號碼。但iThome持續追蹤後發現,這一個疑似手機號碼的外洩個資,根據不具名資安專家推測表示,這組號碼其實是針對外洩資料建立系統檔案時常見的手法,「這個編碼CNO Codes可能是一個類似時間戳記的索引或流水序號,並非外傳的手機號碼。」該資安專家說道。

銓敘部外洩個資的疑似手機號碼,其實是一種時間戳記或某種流水序號

這一份在網路上流傳的銓敘部外洩公務人員個資中,確定的個資資料包括:姓名和身分證字號,其他還有包括該公務人員任職的機關名稱、機關編號(Organization Codes)、職位編號(Job Numbers)以及職稱等。如同一位現任公務人員所言:「這些個資其實是一種職務履歷,主要是可以追蹤公務人員的升遷與職務異動,但可作為他用的個資,仍以姓名和身分證字號為主。」

不具名資安專家表示,為什麼會出現個資的資料筆數,最後比公務人員人數還多的情況,就是因為只要在2005年~2012年6月30日期間,公務人員有任何職務升遷異動時,每一次的職務異動,都會在該外洩個資的資料庫中新增一筆資料。這就是為什麼會出現有一些公務人員在該外洩資料庫的資料中,會因為多次升遷而有多筆資料。

因為,只要有姓名、身分證字號如果加上手機號碼,就可以完整追蹤到當事人。因此,該名資安專家在掌握該份外洩個資後也發現,這個疑似手機號碼的數值,其實和該筆資料建檔的時間有高度關連性。也就是說,如果前面是0962xxxxxx,只要同時比對該筆資料的建檔時間,就會是民國96年某月某日建檔。

他也推測,這樣的作法,應該是駭客在資料庫建檔時,會習慣性使用時間戳記或流水序號,作為資料庫的目錄及索引(Index)之用。他說,若同時比對到民國101年某年某月建檔的資料時,原本疑似手機號碼的欄位,也會同步變成101xxxxxxx,就打破外界認為096xxxxxxx是外洩公務人員手機號碼的疑慮了。

另外有資安專家提出疑問,駭客通常不會使用民國紀元,這一欄的數字疑似電子公文的編號。但iThome經與同時在此份銓敘部外洩個資名單中,但目前人仍在職的公務人員確認,這個疑似手機號碼的數字,與政府電子公文發函的公文編號格式不符,也與該名公務人員每一次職務異動時的銓敘部函號無關。

此外,外洩個資中,除了公務人員的身分證字號,其實也有另外一組小寫英文字母開頭、後面帶有9個數字的「疑似身分證字號」,該名資安專家則推測表示,這串數字其實是建立該筆個資資料的建檔人員編號(CRT Usernames),因為數字格式和臺灣身分證字號的格式類似,容易造成誤解。

銓敘部公務人員個資外洩事件,列為政府次嚴重的第三級資安事件

根據行政院公布的「資通安全事件通報及應變辦法」規定,資通安全事件分為四級,第一級最輕微、第四級最嚴重,此次銓敘部外洩個資屬於該法規定中「未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏」的第三級資安事件類別。

依據「資通安全事件通報及應變辦法」的規定,銓敘部除了要在獲知個資外洩的36小時內,完成損害控制或復原作業後,應該持續進行資通安全事件的調查及處理,並於一個月內依主管機關指定的方式,送交調查、處理及改善報告。

由於目前銓敘部公務人員個資外洩的資安事件,已經由法務部調查局以及臺北市調處立案調查中,行政院資安處處長簡宏偉表示,基於偵查不公開原則,資安處不方便對此一資安事件有相關評論。


Advertisement

更多 iThome相關內容