令人震驚的個資外洩事件發生後,總是會有單位出來召開記者會證明自己清白,卻鮮少有人告訴擔憂的民眾們,他們會有什麼積極的處理方式。
前陣子最轟動的資安新聞,莫過於5,000萬筆個人資料外洩事件,該案偵辦長達1年多,涉及範圍廣且手法多樣又複雜,被刑事局新聞稿當中點名的各單位,不得不一一出來召開記者會,對社會大眾說明現況,但刑事局的新聞稿,顯然跟出來召開記者會的單位是各說各話,視聽大眾們看完新聞後也多所疑問。儘管有些單位不願意接受採訪或明白的表示,不過《資安人》依舊努力透過各種管道來探究事情的真相與各單位所抱持的態度,希望能夠讓讀者對自身個人資料的處境多一些了解,也讓其他單位有所借鏡。
事發原由
事件原由是郵局於去年,也就是96年4月左右,發現有幾筆可疑資料異常,於2、3天內觀察並開始進行處理,帳號密碼登入皆為正常使用,但有其固定行為模式,如使用者會突然更改基本資料、帳單地址或取消對帳功能等,中華郵政資訊處代理處長葉仲嫄表示,犯罪者這些特定的行為模式引起了他們的注意,此後嫌犯再使用網路銀行購買臺灣索尼網路購物商城之遊戲點卡。郵局網路銀行當時可進行交易的電子商城數量有限,且採取較為保守謹慎的作法經營,也只能轉帳到與郵局有簽約的幾家商品,並有一定的轉帳金額限制,幾筆不尋常的轉帳交易往往都在限制金額的邊緣,因此異常狀況便顯得特別明顯。
中華郵政的業務單位經打電話給網路銀行存戶求證並無該筆交易之後,便馬上關閉網路銀行系統,並且通知臺灣索尼停止出貨。並且經由正規的通報應變程序由業務單位通報偵九隊進行調查。至此,檢調單位才開始一路追查下去,經過一年多的追蹤,將整起重大案件抽絲剝繭的給揭露出來。
資安專家觀點
而針對實體隔離的系統,資安專家指出,就算後端資料庫防守嚴密,但只要放置Web的伺服器上有漏洞,駭客即可透過網路交易頁面,置入指令取得後端資料庫的資料或權限,屆時自然是使用「合法」的帳號、密碼進行交易。儘管部分民眾質疑,發生事情的單位自說自話,令人難以相信本身沒有漏洞。熟知內情人士曾評論道,在這一波5,000萬筆個資外洩事件當中,與其他單位部會相對比較起來,中華郵政可以算是資安做得比較好的。
不過,網路上也不乏政府資訊人員討論著,現行的政府體制有問題,許多技術人員考進公家機關之後,卻必須忙於一些與本業無關的行政瑣事。若是遇到非資訊專職長官,又不肯傾聽下屬意見的,更是無奈!一般來說只要出了事,就是找廠商,但找來的廠商又大多只是用現成工具掃一掃,表面沒事就說沒事,反正是吃定政府單位的長官不懂資安。
抽絲剝繭 資安人觀點
根據刑事局指出,這起5,000萬筆個資外洩事件,牽涉多個組織如中華郵政、健保局、教育部及多家電信公司,而在台灣被捕的6人並不是駭客,他們主要是使用該資料庫販賣個人資料為主,資料庫內容詳盡到可做模糊搜尋,是與中國大陸之駭客合作,透過SQL Injection手法入侵資料庫,此外,知情人士透露,這起案例還隱藏了不少資安案例的手法在裡面,例如使用社交工程信件、委外廠商資料外洩等,這些單位或多或少都被交叉使用了幾種攻擊手法在裡面。明確的來說,主要採取SQL Injection手段,再輔以使用社交工程的手法,將惡意誘騙信件寄給特定有權限的對象,侵入系統,有的透過國內大專院校的伺服器當作跳板妨礙偵查,也有電信公司與之合作涉入其中,更嚴重的單位甚至還有被委外廠商,用硬碟直接Copy資料帶走的!
在這起事件當中,郵局僅是賠償了存戶被盜轉的金額,但不論是根據現行法令或即將通過的個資法,對於公務機關等單位將民眾資料外洩,受害民眾依法可要求賠償外洩單位負起損害賠償責任,屆時將會更難以收拾殘局,不僅損失慘重更也失去信譽,而為避免再有同樣的狀況發生,除了加強資訊安全的保護之外,應該也要有因應對策。
駭客手法推陳出新,近年來國內外的個人資料外洩犯罪案件層出不窮,然而令人在意的,倒不是這複雜的案情,而是各單位處理的態度,5,000萬筆個資當中必定有你我的資料在其中,我們在乎的是,發生事情的單位是否有承擔的勇氣,負起責任的態度,並且應該商請外部專家來共同改進、討論,而不是自己檢查後就單方認定,自認不可能會有問題就算沒事,那才能夠降低資安問題再度發生的可能性。
無論是資安專家或是在論壇上熱烈討論關心資安的網友們,莫不認為刑事局既然已在新聞稿中點名,便不可能只是子虛烏有的事情,但這些單位若只是用鴕鳥心態來面對外洩事件,實在很讓人灰心,在態度上應該更勇於認錯並且努力改進才是。
新聞的背後,總是隱藏著許多不能說的秘密。而知情的人,更是誰也不願意站出來扮那個指證他人的黑臉,或許我們可直指更多的事實、點出更多的黑暗面,但我們更應該關注的是,這些單位是否能夠獲得省思,記取這次的血淚教訓,改正他們的態度,並且持續的改善資安。
事發單位怎麼說?
中華郵政
葉仲嫄表示,5,000萬筆個資新聞雖然聳動,但這是兩回事,雖然這起案件是郵局報的案,但郵局並沒有洩漏個資,當初歹徒進行轉帳都是輸入正確的帳號、密碼,因此才會懷疑是用戶端遭到入侵,將個人帳號密碼外洩。此外,葉仲嫄表示,交易資訊皆存放於後端大型主機上,封閉式的大型主機也有門禁系統以及權限的控管。她說,在事件發生後,中華郵政就先檢視自身系統是否有漏洞,開檢討會議,郵局除了請顧問公司來調查系統漏洞以外,也請原系統開發廠商來查看,因此有外部專家介入。
葉仲嫄說,無論是外部專家或是金管會,都曾前往關心並檢視過系統,郵局之主管機關雖為交通部,但金管會亦會介入管理稽核,網路銀行轉帳事件發生後,金管會派員關心後,僅建議在資料庫的「轉帳金額」及「轉入帳戶」欄位再進行加密。她說,由於中華郵政為資通安全會報A級單位,因此儲匯單位也在93年底便依照規定通過ISO 27001的驗證,並持續更新中。葉仲嫄表示,不管是配合檢調偵辦或是接受外部專家檢查,也沒有人可以站出來拍胸脯保證他們現在已經夠安全了!所以是不是只要通過資安驗證就算安全了呢?
當時處理步驟是:
1. 結帳時發現異常
2. 業務單位向使用者求證
3. 資訊單位關閉網路銀行
4. 緊急通報相關單位
而由於金管會公告的「個人網路銀行業務服務定型化契約範本」當中第13條規範了,提供服務的金融單位需負起舉證責任,「除非銀行能證明客戶有故意或過失者外,銀行仍負責任。」中華郵政也曾在記者會中提到,由於舉證有困難,因此在該起案件發生後也負起全額賠償責任,經業務單位最後清查,約有5、6位受害者,賠償金額為70幾萬元左右。
葉仲嫄說,在事件發生後他們評估了風險,因此針對業務策略有所變動,原本網路銀行的轉帳功能被取消掉,不同的網路轉帳機制擔負不同風險的金融機制,且僅有約定轉帳能通行。業務單位決定不要承擔過多風險,對照到安全性,調整風險策略,越安全的機制可以轉較高的金額。(安全性:一般輸入帳密式的網路銀行<卡片插拔式的web ATM<金融憑證)提到防禦上最大的難處,她認為,資安根本是沒有做完的一天,需要防禦的地方實在太多了!
健保局
健保局方面則否認有資料外洩之情事,表示健保局只有個人的姓名、身分證字號及投保單位的公司住址及電話,並沒有特別機密的資訊,且洩漏出的資料欄位也與健保局現在的資料庫並不盡符合。該單位說,他們也是盡量配合刑事局的調查,每年發生資料外洩事件時總是有些單位會被點名,只是盡量作好該做的工作,至於像是調查之後,究竟情況如何,就非工作份內的事情並不太清楚,也不方便再做進一步的回答。至於對委外廠商的疑慮,該局表示系統僅有部分應用程式委外開發,且委外廠商只能接觸到測試資料庫,根本看不到正式資料。
掩過飾非態度不可取 正視問題重拾民眾信心─5,000萬筆個人資料外洩事件後續報導
