檢調認證 全台2300萬筆戶政資料外洩 專家:單靠買最貴軟體無法解決資安問題

外洩的戶政資料,內政部第一時間否認,卻被檢方打臉,因為檢調認證鄭姓男子已在網路上買到。(圖片來源/ 翻攝自Hacker_Spy_network)

暱稱「OKE」的人士在國外駭客論壇兜售我國2357萬餘筆戶役政資料,台灣一工程師好奇付出約台幣約15萬元的4999.2顆泰達幣購買,遭檢方起訴,法院證實該資料確實為台灣戶政資料,該男12日被法院判決緩起訴。但卻意外證實,2022年12月29日內政付第一時間否認個資外洩,遭法院認證打臉。

時代力量立委邱顯智2022年12月透過臉書發文說到,外洩的戶政資料筆數2357萬2055筆,且內政部已承認,2022年12月29日,內政部以標題「戶政系統並無外洩戶政資料」來否認。

台灣戶政資料外洩,內政部第一時間否認

然而一位中國駭客,在2022年10月駭客「OKE」於國外駭客論壇上公開兜售我國戶役政資料2357萬2055筆,要價5000美元,引發軒然大波。調查局資安站查出,這批外洩戶役資料多為2018年4月以前的舊戶役政資料,至此,等於認證內政部管理的戶政資料全部被偷光。

檢方專案小組取得「OKE」販售完整資料進行研析,證實外洩資料為我國2018年4月以前之戶役政資料,再比對資料欄位、資料編碼與格式,部分與戶役政系統原始資料有所出入,但全國的戶政資料都由內政部管理,顯然最原始來源是內政部的資料庫。

2022年立委邱顯智揭露全台戶政資料外洩,內政部馬上否認,公告至今仍在官方網頁上。(圖片來源/ 翻攝自內政部官方網站)

去年,駭客「OKE」並以陸籍童姓男子的電子錢包收款, 而在科技業上班的鄭姓男子表示因好奇支付近5000顆泰達幣購買非法個資,涉嫌違反《個資法》。台北地檢署12日給予鄭男緩起訴處分1年,命他須支付公庫50萬元,另童姓陸籍男子則發布通緝。

全國個資被放在網路上賣,包括副總統個資都外洩

10月12日,台北地方法院判鄭男緩刑,鄭男並未使用這批非法個資,事後也自願同意刪除非法個資檔案,檢方審酌鄭男並無前科,給予緩起訴處分,期間1年,須支付公庫50萬元。

戶政資料外洩一事曾被時代力量立委邱顯智揭露,內政部公開否認,還在官網上聲明沒有戶政資料外洩,網頁到今天還在。內政部否認個資外洩,今年三月被其他媒體以「資料全洩漏。事發關鍵120天,內政部卻矢口否認個資外洩,對外噤聲。」形容。

如今,資料被鄭男從駭客手上買回,檢方認證確實為我國戶政資料,所以才能對鄭男緩起訴,整個事件等於是被檢方打臉,換句話說,北京手上有全台兩千多萬筆台灣戶政資料,據悉連副總統賴清德的個資都在裡面。

資安不只是技術問題,單靠買最貴的軟體無法解決問題

「資安防範最大的盲點是許多主管都認為那只是技術面問題、只是IT人員的責任。」台灣大學電機系教授林宗男表示,他對戶政系統不熟,無法評論,但許多企業、組織的通病,就是把資安問題全部歸咎於IT人員。

林宗男說,「很多資安主管認為,我公司花了很多錢買了最新的軟體、建立最新的防火牆,找來駭客測試過了,任務就結束了,實務上資安問題當然不是只有技術問題。」

正如同很多諜報電影裡面,機密資料都是被內部的叛徒洩露出去,林宗男指出現行組織資安管理有很多挑戰,除了有外敵、還要防內賊,這跟技術無關,跟資安防範的機制、組織有關。

管理機制才是漏洞所在,駭客每天都在找新方法入侵

他強調,資安的治理委員會,除了資安長扮演類似秘書長這種角色,但參與決策會的人,除了IT部門,也要找其他部門一起參與,而且,都是公司內部人參與,會受到既有的限制,動機可能不足,也應讓第三方專家一起參與,公正地替內部把脈。

「許多企業組織的高層,年輕的時候根本沒遇過駭客問題,當時連網路都沒有、甚至是電話線撥接,要如何面對資安威脅?」林宗男認為,設計出好的資安委員會機制,就能輔助任何決策者,來面對資安威脅,他最後說,「駭客都是很認真、很用功的,每天思考找尋漏洞,資安管理人員要先認清這個事實,才能追求更好的資安管理。」

(原始連結)


更多信傳媒報導
台積電日本佈局》熊本二廠將獲9千億日圓補助 預計攻6奈米先進製程
拜登政府準備防堵美國AI晶片出口漏洞 將對海外中國公司施加禁令
藍白談判隔空叫陣 柯陣營「比辯論、比民調」鬆動? 藍營畫底線「不可能全民調」