數位發展部資通安全署(資安署)近期同步發布兩則資安警訊,分別針對一般民眾的社群分享行為,以及政府機關的網路通訊設備管理疏失提出示警。兩則警訊涵蓋個人與機關兩個層面,顯示當前資安威脅已全面滲透日常生活與關鍵基礎設施,呼籲全民提高警覺。
曬票藏危機:一張機票條碼,足以讓陌生人改掉你的行程
許多民眾出遊或參加演唱會後,習慣將票券照片發布至社群平臺與親友分享。然而,資安署指出,這個看似無害的行為,實際上隱藏著嚴重的個人資料外洩風險。
機票票面上的條碼(Barcode)雖然外觀僅是一排黑白平行線條,但其中儲存了旅客的基本姓名、訂位代碼(PNR,Passenger Name Record)、出發地與目的地、航空公司會員編號等完整航班資訊。一旦有心人士從社群平臺上的照片掃描條碼,即可取得旅客的姓名拼音與訂位代碼,並直接登入航空公司官網,惡意竄改旅客行程,甚至修改機上個人餐點選項。
演唱會門票同樣存在風險。票券上的 QR Code 一旦遭截圖,可被有心人士盜用以進入演唱會現場,取代原購票者的入場權益;更嚴重的情況是,被複製後加價轉售。屆時系統若查出當事人為「原購買者」,反而可能被誤認為黃牛,成為調查對象。
遮一半等於沒遮:QR Code 的容錯機制是雙面刃
資安署特別提醒,許多民眾以為在上傳照片前遮住部分條碼即可保護個資,但這種做法實際上效果有限。QR Code 具備強大的「容錯與解碼能力」,其矩陣編碼設計使得即便部分區域被遮蔽,掃描器仍可能還原完整資料。因此,資安署強調必須完全遮蔽條碼,且應採用物理性遮蔽方式,例如以筆記本或手部直接遮擋再拍照。
若使用 PDF 軟體以色塊遮蔽,須特別注意必須將檔案另存為不可編輯的圖片格式,否則色塊僅為可移動的圖層,有心人士可輕易移除並掃描利用。
資安署建議民眾遵循以下四步驟保護票券安全:
- 不分享含條碼的票券照片
- 若仍要分享,確認條碼或 QR Code 已完全遮蔽
- 採用物理性遮蔽方式,避免數位色塊遮蔽
- 使用完畢的票券,丟棄前徹底撕毀
設備管理介面外露:機關網通設備成駭客滲透跳板
在另一則針對政府機關的警訊中,資安署表示,近期主動監測發現,部分機關的網路通訊(網通)設備管理介面可直接自網際網路存取,且未限制來源 IP 位址。
資安署指出,此類設備一旦存在已知漏洞且未完成修補,攻擊者可鎖定並取得設備控制權、竊取組態資訊,甚至將其作為橫向移動(Lateral Movement)的攻擊入口,進一步滲透機關內網。
國際威脅情資亦顯示,攻擊者正持續針對暴露於網際網路的網通設備進行大規模掃描,並嘗試利用已知漏洞或弱密碼等方式入侵,將設備作為後續攻擊的跳板。
六大防護措施,資安署要求機關即刻落實
資安署已發布資安警訊,要求各機關立即檢視相關設備設定,並採取以下六項防護措施:
- 全面盤點網通設備管理介面的對外暴露情形
- 限制存取來源,僅允許特定 IP 位址或透過 VPN(虛擬私人網路)等安全機制存取
- 儘速完成韌體與安全更新,修補已知漏洞
- 停用非必要管理服務及通訊埠,縮小攻擊面
- 啟用多因子驗證(MFA)並強化管理帳號密碼安全
- 持續監控設備異常登入及設定變更紀錄,及早發現可疑活動
資安署強調,許多攻擊事件源於設備管理介面直接暴露於網際網路、未落實存取控管,或未進行安全性修補。各機關應遵循「最小暴露面」原則,以及「原則禁止、例外允許」的遠端存取管控原則,定期檢視設備安全設定。
此次資安署同步對個人行為與機關設備管理發出警示,凸顯資安威脅已從單一面向擴展至日常生活的每個環節。無論是一張隨手上傳的票券照片,或是一台未妥善設定的網通設備,皆可能成為有心人士的可乘之機。
資安署表示,將持續蒐整國內外威脅情資,主動協助政府機關發現潛在風險,並透過資安警訊及通報機制提醒各機關即時採取因應措施,共同提升整體資安防護能量與資安韌性。