国安大漏洞!中国骇客盗卖台湾2300万笔个资(图)
台湾调查局证实2月24日证实,2300万笔户政个资遭骇。(图片来源:Adobe stock)
【看中国2023年2月24日讯】引发外界关注的2300多万笔户政役资料外泄案,台湾调查局今(24日)指出,贩售个资不法人士所使用之虚拟通货钱包地址,为中国籍人士所有,并疑似通过中国大陆银行帐户办理出金提领不法所得。目前专案小组已掌握该名陆籍人士身份。
据自由时报报导,调查局资安工作站24日表示,去年10月间发现暱称“OKE”人士,于国外骇客论坛BreachForums公开兜售台湾户役政资料2357万2055笔,开价5000美元,并以虚拟通货作为付款方式,该卖家为取信买家,还在兜售网页公开20万笔资料,以供买家验证资料的真实性,并留下Telegram作为交易联络方式。
调查局取得OKE贩售的完整资料后进行研析,证实外泄资料为台湾2018年4月以前的户役政资料,再比对资料字段、资料编码与格式,部分与户役政系统原始资料有所出入,续查其他使用户役政资料或介接机关,但受限于资讯系统、网通及资安设备的局限,难以追查数位迹证路线。
调查局自不法金流着手追查,发现贩售个资不法人士所使用之虚拟通货钱包地址,为“中国籍人士”所有,且已完成多笔交易,并将疑为盗卖台湾户政个资的不法所得,通过“中国大陆银行帐户”办理出金提现。目前调查局专案小组已掌握该位陆籍人士身份。
据报导称,调查局还自虚拟通货钱包实名认证中获取中国身份证字号,掌握此人应为2000年前后出生的20多岁中国男子,已对其发布境管。
调查局指出,本案将依违反个人资料保护法及刑法妨害电脑使用罪等,移送台湾台北地方检察署侦办,并将持续追查相关买家不法行为。
调查局并呼吁各机关、公司企业做好个资安全防护,加强人员的资安意识,落实资讯设备记录保存,同时也提醒民众,兜售、购买或使用非经授权个人资料,属违反个人资料保护法行为,请民众勿误触法;另外,骇客论坛提供的阅览样本亦可能夹带恶意程式,忽悠民众切勿因好奇点选下载而遭骇。
事实上,近年台湾已爆发多个重大个资外泄事件,且是从户政、健保公部门到民间企业私部门,还传出连8大情资系统如国安局、军情局等个资也全遭外泄,甚至在海外遭贩卖;根据警政署统计,2022年诈欺案,预期创下10年新高纪录,消基会指出,很大一部分是来自于个资外泄情事。
ctwant新闻盘点,除了上述案例,2019年6月,铨叙部59万多笔文官服务单位职称等个资外泄,8大情资系统包括国安局、军情局、调查局、警政署、检察、海巡、政风及宪兵全数流出,并在国外论坛以10欧元(约台币350元)遭贩售;同年7月,1111人力银行又传出20笔个资外泄。
不仅如此,更爆出已退休健保署官员涉嫌在2009年到2022年间,将健保被保险人资料泄漏长达13年;私部门还有华航会员数据库300万笔个资外泄,包括副总统赖清德、台积电创办人张忠谋、鸿海创办人郭台铭、女星林志玲等,华航甚至收到匿名网络勒索信;而最近又传出和泰汽车旗下iRent外泄个资达40万笔,另一家租车业者格上也有1.6万名客户受害。
消费者文教基金会董事长吴荣达表示,个资外泄发生的核心关键在于政府不够重视资料的保全与查核,现行个资法主管机关散见各目的主管机关,人少事繁,管理经验偏低,以致在管理、查核上经常力有未逮,呼吁数位部成立后应整合各部会工作,并订定指引或范本让各部会得以遵循,也建议政府提高修法,增加吓阻力,才能促使各部门重视资安漏洞。