觀點

驚悚回顧 國內2004資安事件

2005 / 01 / 01
編輯部
驚悚回顧  國內2004資安事件

2000萬筆個人資料外洩
轟動國內,影響層面遍佈全國的電話詐騙行為,影響既深且廣。台北市光1月到8月,損失金額超過27億6,700萬元,破案追回只有4,869萬,僅僅佔0.14%。同時呢,消基會估計國內詐騙案一年的產值恐怕高達50億到65億之間;法務部更將2004年定為『反詐騙行動年』。

優利國際行銷公司,透過電信、多家金融行庫不肖職員收購一千多萬筆個人資料,根據警政署從中國信託、誠泰、富邦、國泰、玉山、台新、與遠傳電信等業者流出。

1月 健保局中區分局承辦員洩漏民眾資料給暴力討債集團,其中15人遭暴力集團追討債務。

4月 『金融聯合徵信中心』的客戶資料,竟然有上千筆外流到張榮崧兄弟的恐嚇詐騙集團。可能原因不外乎內神通外鬼,或會員使用不當而外洩。

5月 高雄衛生局員工盜賣孕婦產檢、新生兒及親屬資料,以每筆一、二元代價賣給嬰兒食品及奶粉公司,總共40萬筆。

6月 台北市破獲萬士通資訊、耐而益實業、瑟菲思公司,超越 千萬筆個人資料外洩及販售案。

6月 1.涉及蕭榮祥販賣個資地事件,針對公家機關外洩民眾資料案,處分中華電信18人、海巡署18人、刑事警察局5人;懲處最高層級中華電信副總經理記過一次,海巡署南區巡防局長林肇成記過一次。涉案人員多人確定去職、解雇或停職。

2.調查局發現,為治安單位拉線進行監聽的工程業者,利用熟悉配線的優勢,私下掛線監聽。某些金融單位的電信業務,也由這些業者進行。承包中華電信配線業務的包商,均與中華電信關係密切。

7月 台北市調查處赴台中搜索兩家公司,全國六百萬筆資料,涵蓋幼稚園到公私立高中學生,幾乎全國高中以下學生都難以倖免。

8月 1.大學考試分發委員會網站,防火牆設計不當,考生資料外洩,三年內的名單都可接觸到。

2.北縣二線三星警官,涉嫌在板橋某應召站插乾股,並與討債公司掛鉤,透過警政署電腦資料查詢並盜賣戶口資料事件。

9月 1.金融電信帳款委外催收,賣斷不良債信,同時將客戶資料轉給催收公司,適法性待檢討。

2.假冒知名金融單位之名招收客戶,代辦所有貸款業務,以客人基本資料向數家銀行申貸,取得貸款後,逃之夭夭,銀行、客人同時受害。

3.高雄精聚整合行銷公司,代辦寬頻網路業務,同時代為向銀行代辦貸款業務,但貸款金額全數被捲走,8000人受害,損失金額兩億。

4.高雄市衛生局衛教科股長蕭春香,透過『出生通報資料網路傳輸通報系統』及各項工作之便,取得44萬筆新生兒資料,賣給名單公司、再轉賣兒童食品公司、人壽保險公司等。

10月奧美顧客關係行銷公司疑涉入盜賣客戶資料,台北地檢署傳喚該公司探勘總監訊後十萬元交保。

12月徵信社入侵經濟部商業司工商登記網,下載四千兩百萬筆企業或個人資料 目前的回應:

個人資料保護法加重刑責:原本兩年以下有期徒刑,提高為五年以下,同時擴大追訴違法蒐集或利用個人資料的刑事責任。同時擴大保護個人資料的範圍,自『電腦處理個人資料保護法』擴大為『個人資料保護法』。

●電信總局針對手機業者,評比個人資料保護工作,遠傳、泛亞、中華電信成績不佳。電信總局連年的稽核,的確提升各家業者,對個人資料保護工作的重視,並持續加強作業流程的管控與人員的教育。

●金管會針對日盛、台新、富邦銀行處以50萬罰金,懲楚三家公司外洩聯合徵信中心的徵信資料。

教訓:

●主關機關切稽核,公佈稽核成績。
●更主動監督自己資料被保護狀況,自我小心保護資料,不必留的就不留給別人。
●國人習以為常的代辦服務,應該重新思考,身份資料及印鑑不再能隨意交付別人。

企業主誠信問題 一一跳上檯面
7月 1.88年上市的博達公司,涉嫌虛飾財務報表,操縱公司股價、內線交易,63億資金蒸發。

2.中央租賃詐貸及掏空案,公司高層涉嫌向銀行詐貸,檢調也發現分公司部份基層人員,涉嫌勾結廠商向總公司申請融資,事後再倒帳不還。

8月 訊碟上半年稅後虧損金額高達44.98億元,訊碟購買GOLD TARGET FUND的金額高達26.2億元,但無法提供支付資金的確切證明文件。

9月 皇統經營層虛設公司進行假交易美化帳面,再發行海外可轉換公司債,透過此一過程進行洗錢。

12月 1.新台幣2百億元的世紀掏空案,胡洪九涉掏空太電巨額資產造成30萬小股東斷頭、股票甚至因而下市。

2.陞技科技資產蒸發,陞技電腦遭交易所提出8大問題,要求澄清財報疑雲,但是陞技的說詞明顯無法獲得證交所認同,打入全額交割股。

啟示:

●改變會計師簽證費用收取方式,增加簽證的獨立性。
●投資者得做更多的功課,改變投機色彩的投資觀念。
●主管機關得付出更多心力,壓縮經營者上下其手的空間。證期局副局長吳裕群表示「現有的監理制度的確出現有所不及的地方,值得有關單位再加以檢討」。

變本加厲的病毒
004年趨勢科技發現16,880隻病毒中,依照類型,木馬程式佔33.2%位居第一,網路蠕蟲佔26.4%,後門程式位居第三佔21.7%。」

依照感染總感染數與發佈警報的次數來看,天網(NetSky)、悲慘命運(MyDoom)與培果(Bagle)三大變種病毒是2004年最引領風騷的病毒。

Sasser 殺手病毒在Microsoft發佈LSASS漏洞修正程式之後的第17天就出現,造成全球超過1800萬部電腦遭受感染,台灣許多金融單位和企業也災情慘重,其中郵局430個支局停擺,更因為系統分期發包過於複雜,回覆過程艱辛無比。

第一個手機病毒-食人魚病毒(SYMBOS_CABIR.A)
在Symbian 60的系統上透過藍芽裝置散佈 ,會不斷地搜尋其他藍芽裝置造成手機電力大量消耗。雖然沒有釀成嚴重災情,不過卻可能是手機病毒時代來臨的一項預警。

人人厭煩的垃圾郵件
e-mail變為另一種電腦病毒或攻擊的方便門,木馬、間諜軟體、Phishing接踵而來,已經夠令人心煩,更何況真正商業目的的垃圾信,仍舊見縫插針、源源不絕、怎麼也砍不完。

2005的期待:
●交通部『濫發商業電子郵件法管理條例』能儘快通過立法。
●各大ISP能肩負反垃圾郵件的職責。
●無論AOL的SPF或微軟的Sender ID都能更廣泛獲得支持。

駭客、木馬衝擊金融服務、電子商務
2月 網路購物一樣發生運用駭客手法,攔截競標者資料,再假冒賣方通知該競標者,付款到特定帳戶,該嫌犯得逞數量超過60多件。

3月 多家網路銀行的客戶帳戶,遭人利用非約定帳號轉帳,盜轉出數萬乃至數十萬不等金錢到人頭帳戶。問題出在,受害客戶家中電腦均發現木馬程式,帳號密碼傳送到中國某特定主機。金融局更因此,全面停止網路銀行的非約定帳戶轉帳功能。

5月 國內百家科技、網路等企業,遭植入惡意木馬程式,竊取商業機密、盜取網路銀行存款。大陸駭客使用的原始碼,來自他們尊稱的『台灣人驕傲Proud of Taiwan peep』,作者為南台灣科技公司職員王平安,完全不知已觸法。

6月 本地駭客陳崇順與大陸駭客聯手,以木馬植入受害者電腦中,取得帳戶密碼,超過10萬筆資料傳送出去由大陸駭客盜領。所又入侵主機IP遍佈美國、俄羅斯、阿根廷、印度、韓國、大陸。本案由台新銀行首先發現,報案偵破。

2004資安天王巨星『BS7799』
政府的要求、市場的壓力、客戶的要求,造就了一股『BS7799』狂熱。2004年底有45家公司或單位取得認證,超過千人取得BS7799 Lead Auditor證書。這股狂潮更將延續到2005年,甚至2006、2007、…

注目焦點:
?資安的建立,仍然需靠外部的壓力、或規範。
?人的問題,只有靠有效的管理系統,透過不斷的教育訓練及稽核管理,才有機會減低傷害。

網路淪為詐騙工具
1月 1.黑幫設網站吸納古惑仔。
2.虛設民宿網頁,利用春節期間必須全額預付,多人受騙。
3.透過msn做一對一網路脫衣聊天室,加上知名入口網站電子報廣為宣傳。

3月 金融局警告,有詐騙集團假冒銀行名義向客戶發出email誘導客戶到假網頁留下帳戶密碼。

6月 網路交易履約保障服務公司,因為系統漏洞被詐失金。當拍賣結束後,買方未依約付款時,賣方會透過履約保障公司的系統向買方催款,但買方帳戶沒有金額時,賣方的一再催促,履約公司將先墊款。這項漏洞造成擔負保全任務的公司先受害。

7月 1.海外讀書歸國學子,架網站展示大麻栽種成果,甚至教授栽種技巧、彼此交換心得。
2.網路假賣車,以極低價賣高級進口借屍還魂車,因為有問題無法當面交車,必須先預付部分款項,及其他技巧,逐步誘騙受害人轉帳到人頭帳戶。

9月 1.國內首件13歲少年設置『國中國小援交班』色情媒介網站,不到一個月造成國中校學生轟動,同時一星期內招募115名會員。
2.線上遊戲盜寶物,警方行文須向遊戲公司調閱記錄檔案,因為同樣案件太多,等到遊戲公司配合時,早已過了公司自行訂定的有效保存時間,而銷毀檔案。同時警方發現,盜取寶物的玩家幾乎都以虛擬人名、身分證字號、地址申請,遊戲公司並未嚴格管制。
3.專校生釣魚(Phishing),假冒知名網站或金融機構發電子郵件,詐取他人郵件帳號密碼偷窺他人郵件。

10月 網路豬籠草:嫌犯以假名子、假信用卡號、假人頭帳戶、假網址、假網站,盜用中國信託、中華商業銀行網站首頁,讓訪客受騙留下帳號密碼,再趁機自己登錄受害人帳戶,轉帳到人頭戶。

公務機關疏失,民眾權益何在?
3月 台灣期貨交易所電腦系統嚴重塞單,業者估計投資人超額損失1億元以上。

7月 1.台灣期貨交易所系統當機31分鐘,投資人、期貨商、期交所同仁,大家都委屈,因為當初系統未能通盤長遠規劃,以至於必須隨業務量不停拼湊擴充。
2.外交部駐英國代表處,核發汪傳浦妻子驗證授權書,全國嘩然。外交部聲稱汪傳浦家人名單通知書已送至海外駐點,但承辦人員強調一切按照標準作業程序,不該送公懲。

8月 新竹市警方同依嫌犯竟然擁有兩張不同的身分證,名子不同、字號不同,她曾留下偽造貨幣的前科,但是新身分證完全沒有這項記錄。

9月 北市『戶政e網通』大當機,全市14個戶政事務所業務停 擺。這系統從8月16日上線到9月14日止,共當機18次。這次當機長達一小時,民眾乾等、戶所人員則奉茶、收件、安撫情緒。

11月 北市聯合醫院於94年正式運作,十家市立醫療院所推動資訊系統整合,引發當機事件,造成醫院停擺近四個小時,掛號、批價、病歷全改為手寫,秩序大亂。

衷心期待:
●政府規劃任何系統,請打破價格標的迷失、擺脫關說壓力,前瞻思考。
●系統導入時多一些規劃,儘可能將不便降到最低,民間單位承受市場的考驗,必須將不便降到最低。

內賊的直接破壞力還是最大
5月 SeedNet前網路通訊程式開發及銷售小組人員,將研發成果轉到親人所開的公司,並於離職前刪除、帶走原始碼,致使公司無法及時維修喪失競爭力。

6月 台灣銀行松江分行發生行員謝世宏監守自盜,盜領客戶存款1.6億。雖然每家銀行都有完整內控制度及作業守則,但未照表操課,就容易衍生人員弊端。

7月 某外商公司發生重大監守自盜案,深獲老闆信賴的該公司會計,獨自負責外匯提兌、存款業務;涉嫌虛設境外帳戶,連續盜領侵吞公款,金額達一億五千萬,大部分已轉至國外。

8月 全球最大聚苯乙烯生產商美商陶氏化學(Dow Chemical)台灣分公司,疑該公司電腦資料庫遭離職高階主管下載大批重要科技資料,並委託律師控告該經理人員背信、妨害他人電腦使用、妨害秘密等罪嫌,該資料庫價值超過200億。

9月 離職員工仍然繼續使用公司email帳號,並從中得知公司的訂單,並直接與客戶聯繫,轉賣其他公司的商品。被原公司得知,報警處理,判刑3個月得易科罰金,以9百元易科一日。

啟示:
●『習以為常』,反而就是『不安全』的開始,相處久了不代表可充分信任。
●資安防護的資源配置,常常擺在防外賊。
●『標準作業程序』逐漸變為『新人作業參考守則』。

殺敵用的國防軍備大量外流
3月 位於台中縣大里市某營區,軍用夜視鏡失竊,從門鎖被破壞到失竊數日後,連長交接才發現失竊,並且報備程序只到旅級單位,整體控管系統明顯失效。

5月 屏東航空特戰營區火箭彈外流(國軍反裝甲六六火箭彈),相關人員竟包括國小訓育組長。

7月 陸軍後勤司令部高雄聯保廠雇員涉嫌盜賣軍品,為數可觀包括包含威力強大的M42、M48戰車砲彈、海軍快艇砲彈、大批50機槍彈、三挺新機槍、全新悍馬車零件。該嫌係利用軍品及中報廢之便,將堪用、新申購或計劃報廢軍品,轉售資源回收業者及二手用品商。

8月 聯勤二彈庫第二分庫,90手槍子彈大量外流,數量超過一萬一千發。

國家機密仍究不敵金錢誘惑
3月 軍情局離職人員曾昭文勾結現職人員陳穗瓊,刺蒐人事調動資料交付大陸情報人員。

4月 1.中科院雇員陳士良透過院內網路取得機密資料,外洩中國大陸。
2.高雄辣妹吸金案,千餘名軍官關名冊外洩,包含艦艇、戰機重要幹部。
3.新竹空軍基地共諜案,空軍士官長在金錢誘惑下,將我國空軍主力的幻象機維修檢查資料交給友人,再輾轉傳真到廣州。
4.軍情局退休情報員,被中國大陸吸收,返台收集法輪功會員資料、台灣。
5.中國新娘資料、海外台獨人士戶政資料、香港立法會議員來台入出境資料。

7月 國內首宗利用無線網路溢波,上網盜刷信用卡。嫌犯取得民眾信用卡資料,盜用鄰居無線網路上網盜刷購買遊戲點數,獲得寶物後再拍賣牟利。

無線網路防護何時起飛?
7月 國內首宗利用無線網路溢波,上網盜刷信用卡。嫌犯取得民眾信用卡資料,盜用鄰居無線網路上網盜刷購買遊戲點數,獲得寶物後再拍賣牟利。

傳統的實體安全反而最容易忽略
9月 國家最高研究單位中研院,5個月傳出10起電腦竊案,竊賊專偷筆記型電腦。許多院士的珍貴研究資料、重要研究成果,就這樣一起被盜。

鼓勵應用、忘了防護
10月 東新國小原住民網頁教學資料庫留言板,遭網友隨意留言、張貼援交資料、一夜情廣告,染黃超過一個月。

以上資料均取自國內新聞報導資料,資安人雜誌限於人力無法逐一檢視各事件的正確內容;若與事實有差距,或各事件有最新的發展,歡迎來函更正, 來函請寄︰iseditor@asmag.com