资安应超前部署 专家:台湾科技人才个资成骇客目标(图)
专家说,在美中贸易战、科技战期间,台湾的高科技人才数据库,更加可能成为全球骇客垂涎的目标。(图片来源:Adobe Stock)
【看中国2020年10月5日讯】(看中国记者卢乙欣综合报导)中秋连假期间,疑似有人力银行遭到骇客侵入,导致求职者个资遭到盗卖,安侯建业(KPMG台湾所)资安专家说,对骇客而言,求职资料含金量颇高,特别是正值科技战期间,台湾高科技人才的数据库更成为垂涎目标。
相关新闻报导如下:
10个政府单位被中国骇客组织攻击 台湾调查局侦办
谈及网络攻击战 学者:很多国家都不宣告直接打
赖清德:中国骇客每月3千万次攻击台湾
中国籍骇客涉网攻中油 台美合作侦破
人力银行592万笔个资外泄 陆骇客暗网出售恐影响国安
自由时报日前报导,治安单位正在追查案件时,赫然发现中国骇客疑似在中秋节前夕入侵国内人力银行,盗走高达592万多笔个资,且被张贴至中国暗网交易论坛上出售;遭到骇入的人力银行业者4日澄清,目前从骇客公开的35笔资料判断,均为2013年旧资料,目前仍在详细地清查被盗的个资笔数,且已主动向调查局报案。
针对此案,安侯建业联合会计师事务所(KPMG台湾所)说,虽然案件实情仍待调查,但自近年来的案例分析,每逢台湾的连续假期或是台风假,对于骇客集团而言都是“好日子”,因为资讯人员与系统维护厂商人力配置较少,对于各种网络事件疏于监控,若一旦发现有入侵的迹象,求援不易,回应不及。
对此,KPMG数位科技安全服务负责人谢昀泽表示,在骇客眼中,求职的资料含金量颇高,因包括通联资讯等当事人的完整个资,容易成为诈骗集团或行销资料盗卖集团狙击的首要标的;尤其是在美中贸易战、科技战期间,台湾的高科技人才数据库,更加可能成为全球垂涎的目标。
针对骇客侵入,KPMG数位科技安全服务经理林轩宇则分析,企业网络遭到侵入的常见原因包括了Web系统设计缺陷、网络防御机制漏洞、委外厂商留下的漏洞或后门、系统管理者的帐号遭夺权等问题,故提醒拥有大量个资的网络服务业,应该在假期来到前,针对上述各项的资安热点进行超前部署。
林轩宇建议,企业平时对于网络上的相关情资,例如针对公司的资安漏洞、客户档案外泄的讨论等,应该即时且有系统性的搜集、观测及分析;情资监控范围,则应该尽可能地涵盖企业上下游供应链及生态链相关公司,如此才能够即早发现问题,例如发现个资外泄,应该尽速依个资法主动通知当事人,以降低事故造成的冲击。
林轩宇认为,相较于人力银行业者,大多数的公司在以往针对人事资料的保护更嫌不足,如果人事招募采取外包的公司,应该定期评估企业本身及合作厂商的个资与资安管理能力,甚至是针对委外厂商来定期进行资安评估或是实地稽核。
针对曾在人力银行登入履历的求职者,KPMG台湾所提醒,近期应该要提高警觉,注意是否有相关诈骗集团应用外泄的资料,以电邮、电话、社群媒体进行诈骗,如有需要可以进一步向165反诈骗专线求助;至于在非求职期间者,则可以考虑要求人力银行业者把求职个资依法予以删除,借此降低自身个资遭到泄漏风险。
自由时报报导,台湾传出史上最严重资安外泄事件。有知名网络人力银行电脑系统,遭中国骇客入侵,高达592万4397笔详细人身资讯,被骇客利用暗网专属帐号“rootkit”,张贴至俗称“黑暗网站(Dark web)”的中方“暗网交易论坛”交易市场上,骇客还表明将以500或1000美元(约1.45万至2.9万台币)价格对外标售。在这高达的592万笔的外泄个资中,详细编列着台湾求职者的个人档案编号、身份证号、姓名、出生年月、性别、电子邮箱、家庭住址、手机号码、座机区号、座机号码、标识ID,一切资讯钜细靡遗。
数位时代报导,104人力银行于4日晚间发表声明证实遭到骇客入侵,并称骇客公开的35笔资料均为2013年的旧资料,目前已经主动向调查局报案。
无独有偶,人力银行1111今天被PTT网友爆料,现有335万笔详细、非常新的求职者资料被放在暗网上求售,这些资料包括身份证字号、姓名、性别、电话、手机、邮箱、住址、个人简历、毕业学校、专业、身高、体重,且一件售价高达1000美元。
然而,这并非是1111首次遇骇,2019年也遭爆出20万笔使用者资料被放在国外网站“突袭论坛”(RaidForums)上兜售,这些事件均显示求职网站资安出现大破洞。
1111官方稍早发布声明给会员,强调外泄档案均为9年前的旧案,目前都已经全面提升资安的维护,为了保障企业及会员权益,已经向保险公司投保第三人责任险,而1111董事会也已拨出新台币2亿元成立赔偿基金,以确保会员权益。