驚悚回顧 國內2004資安事件

2000萬筆個人資料外洩
轟動國內，影響層面遍佈全國的電話詐騙行為，影響既深且廣。台北市光1月到8月，損失金額超過27億6,700萬元，破案追回只有4,869萬，僅僅佔0.14%。同時呢，消基會估計國內詐騙案一年的產值恐怕高達50億到65億之間；法務部更將2004年定為『反詐騙行動年』。

優利國際行銷公司，透過電信、多家金融行庫不肖職員收購一千多萬筆個人資料，根據警政署從中國信託、誠泰、富邦、國泰、玉山、台新、與遠傳電信等業者流出。

1月 健保局中區分局承辦員洩漏民眾資料給暴力討債集團，其中15人遭暴力集團追討債務。

4月 『金融聯合徵信中心』的客戶資料，竟然有上千筆外流到張榮崧兄弟的恐嚇詐騙集團。可能原因不外乎內神通外鬼，或會員使用不當而外洩。

5月 高雄衛生局員工盜賣孕婦產檢、新生兒及親屬資料，以每筆一、二元代價賣給嬰兒食品及奶粉公司，總共40萬筆。

6月 台北市破獲萬士通資訊、耐而益實業、瑟菲思公司，超越 千萬筆個人資料外洩及販售案。

6月 1.涉及蕭榮祥販賣個資地事件，針對公家機關外洩民眾資料案，處分中華電信18人、海巡署18人、刑事警察局5人；懲處最高層級中華電信副總經理記過一次，海巡署南區巡防局長林肇成記過一次。涉案人員多人確定去職、解雇或停職。

2.調查局發現，為治安單位拉線進行監聽的工程業者，利用熟悉配線的優勢，私下掛線監聽。某些金融單位的電信業務，也由這些業者進行。承包中華電信配線業務的包商，均與中華電信關係密切。

7月 台北市調查處赴台中搜索兩家公司，全國六百萬筆資料，涵蓋幼稚園到公私立高中學生，幾乎全國高中以下學生都難以倖免。

8月 1.大學考試分發委員會網站，防火牆設計不當，考生資料外洩，三年內的名單都可接觸到。

2.北縣二線三星警官，涉嫌在板橋某應召站插乾股，並與討債公司掛鉤，透過警政署電腦資料查詢並盜賣戶口資料事件。

9月 1.金融電信帳款委外催收，賣斷不良債信，同時將客戶資料轉給催收公司，適法性待檢討。

2.假冒知名金融單位之名招收客戶，代辦所有貸款業務，以客人基本資料向數家銀行申貸，取得貸款後，逃之夭夭，銀行、客人同時受害。

3.高雄精聚整合行銷公司，代辦寬頻網路業務，同時代為向銀行代辦貸款業務，但貸款金額全數被捲走，8000人受害，損失金額兩億。

4.高雄市衛生局衛教科股長蕭春香，透過『出生通報資料網路傳輸通報系統』及各項工作之便，取得44萬筆新生兒資料，賣給名單公司、再轉賣兒童食品公司、人壽保險公司等。

10月奧美顧客關係行銷公司疑涉入盜賣客戶資料，台北地檢署傳喚該公司探勘總監訊後十萬元交保。

12月徵信社入侵經濟部商業司工商登記網，下載四千兩百萬筆企業或個人資料 目前的回應：

個人資料保護法加重刑責：原本兩年以下有期徒刑，提高為五年以下，同時擴大追訴違法蒐集或利用個人資料的刑事責任。同時擴大保護個人資料的範圍，自『電腦處理個人資料保護法』擴大為『個人資料保護法』。

●電信總局針對手機業者，評比個人資料保護工作，遠傳、泛亞、中華電信成績不佳。電信總局連年的稽核，的確提升各家業者，對個人資料保護工作的重視，並持續加強作業流程的管控與人員的教育。

●金管會針對日盛、台新、富邦銀行處以50萬罰金，懲楚三家公司外洩聯合徵信中心的徵信資料。

教訓：

●主關機關切稽核，公佈稽核成績。
●更主動監督自己資料被保護狀況，自我小心保護資料，不必留的就不留給別人。
●國人習以為常的代辦服務，應該重新思考，身份資料及印鑑不再能隨意交付別人。

企業主誠信問題 一一跳上檯面
7月 1.88年上市的博達公司，涉嫌虛飾財務報表，操縱公司股價、內線交易，63億資金蒸發。

2.中央租賃詐貸及掏空案，公司高層涉嫌向銀行詐貸，檢調也發現分公司部份基層人員，涉嫌勾結廠商向總公司申請融資，事後再倒帳不還。

8月 訊碟上半年稅後虧損金額高達44.98億元，訊碟購買GOLD TARGET FUND的金額高達26.2億元，但無法提供支付資金的確切證明文件。

9月 皇統經營層虛設公司進行假交易美化帳面，再發行海外可轉換公司債，透過此一過程進行洗錢。

12月 1.新台幣2百億元的世紀掏空案，胡洪九涉掏空太電巨額資產造成30萬小股東斷頭、股票甚至因而下市。

2.陞技科技資產蒸發，陞技電腦遭交易所提出8大問題，要求澄清財報疑雲，但是陞技的說詞明顯無法獲得證交所認同，打入全額交割股。

啟示：

●改變會計師簽證費用收取方式，增加簽證的獨立性。
●投資者得做更多的功課，改變投機色彩的投資觀念。
●主管機關得付出更多心力，壓縮經營者上下其手的空間。證期局副局長吳裕群表示「現有的監理制度的確出現有所不及的地方，值得有關單位再加以檢討」。

變本加厲的病毒
004年趨勢科技發現16,880隻病毒中，依照類型，木馬程式佔33.2%位居第一，網路蠕蟲佔26.4%，後門程式位居第三佔21.7%。」

依照感染總感染數與發佈警報的次數來看，天網(NetSky)、悲慘命運(MyDoom)與培果(Bagle)三大變種病毒是2004年最引領風騷的病毒。

Sasser 殺手病毒在Microsoft發佈LSASS漏洞修正程式之後的第17天就出現，造成全球超過1800萬部電腦遭受感染，台灣許多金融單位和企業也災情慘重，其中郵局430個支局停擺，更因為系統分期發包過於複雜，回覆過程艱辛無比。

第一個手機病毒-食人魚病毒（SYMBOS_CABIR.A）
在Symbian 60的系統上透過藍芽裝置散佈 ，會不斷地搜尋其他藍芽裝置造成手機電力大量消耗。雖然沒有釀成嚴重災情，不過卻可能是手機病毒時代來臨的一項預警。

人人厭煩的垃圾郵件
e-mail變為另一種電腦病毒或攻擊的方便門，木馬、間諜軟體、Phishing接踵而來，已經夠令人心煩，更何況真正商業目的的垃圾信，仍舊見縫插針、源源不絕、怎麼也砍不完。

2005的期待：
●交通部『濫發商業電子郵件法管理條例』能儘快通過立法。
●各大ISP能肩負反垃圾郵件的職責。
●無論AOL的SPF或微軟的Sender ID都能更廣泛獲得支持。

駭客、木馬衝擊金融服務、電子商務
2月 網路購物一樣發生運用駭客手法，攔截競標者資料，再假冒賣方通知該競標者，付款到特定帳戶，該嫌犯得逞數量超過60多件。

3月 多家網路銀行的客戶帳戶，遭人利用非約定帳號轉帳，盜轉出數萬乃至數十萬不等金錢到人頭帳戶。問題出在，受害客戶家中電腦均發現木馬程式，帳號密碼傳送到中國某特定主機。金融局更因此，全面停止網路銀行的非約定帳戶轉帳功能。

5月 國內百家科技、網路等企業，遭植入惡意木馬程式，竊取商業機密、盜取網路銀行存款。大陸駭客使用的原始碼，來自他們尊稱的『台灣人驕傲Proud of Taiwan peep』，作者為南台灣科技公司職員王平安，完全不知已觸法。

6月 本地駭客陳崇順與大陸駭客聯手，以木馬植入受害者電腦中，取得帳戶密碼，超過10萬筆資料傳送出去由大陸駭客盜領。所又入侵主機IP遍佈美國、俄羅斯、阿根廷、印度、韓國、大陸。本案由台新銀行首先發現，報案偵破。

2004資安天王巨星『BS7799』
政府的要求、市場的壓力、客戶的要求，造就了一股『BS7799』狂熱。2004年底有45家公司或單位取得認證，超過千人取得BS7799 Lead Auditor證書。這股狂潮更將延續到2005年，甚至2006、2007、…

注目焦點：
?資安的建立，仍然需靠外部的壓力、或規範。
?人的問題，只有靠有效的管理系統，透過不斷的教育訓練及稽核管理，才有機會減低傷害。

網路淪為詐騙工具
1月 1.黑幫設網站吸納古惑仔。
2.虛設民宿網頁，利用春節期間必須全額預付，多人受騙。
3.透過msn做一對一網路脫衣聊天室，加上知名入口網站電子報廣為宣傳。

3月 金融局警告，有詐騙集團假冒銀行名義向客戶發出email誘導客戶到假網頁留下帳戶密碼。

6月 網路交易履約保障服務公司，因為系統漏洞被詐失金。當拍賣結束後，買方未依約付款時，賣方會透過履約保障公司的系統向買方催款，但買方帳戶沒有金額時，賣方的一再催促，履約公司將先墊款。這項漏洞造成擔負保全任務的公司先受害。

7月 1.海外讀書歸國學子，架網站展示大麻栽種成果，甚至教授栽種技巧、彼此交換心得。
2.網路假賣車，以極低價賣高級進口借屍還魂車，因為有問題無法當面交車，必須先預付部分款項，及其他技巧，逐步誘騙受害人轉帳到人頭帳戶。

9月 1.國內首件13歲少年設置『國中國小援交班』色情媒介網站，不到一個月造成國中校學生轟動，同時一星期內招募115名會員。
2.線上遊戲盜寶物，警方行文須向遊戲公司調閱記錄檔案，因為同樣案件太多，等到遊戲公司配合時，早已過了公司自行訂定的有效保存時間，而銷毀檔案。同時警方發現，盜取寶物的玩家幾乎都以虛擬人名、身分證字號、地址申請，遊戲公司並未嚴格管制。
3.專校生釣魚（Phishing），假冒知名網站或金融機構發電子郵件，詐取他人郵件帳號密碼偷窺他人郵件。

10月 網路豬籠草：嫌犯以假名子、假信用卡號、假人頭帳戶、假網址、假網站，盜用中國信託、中華商業銀行網站首頁，讓訪客受騙留下帳號密碼，再趁機自己登錄受害人帳戶，轉帳到人頭戶。

公務機關疏失，民眾權益何在？
3月 台灣期貨交易所電腦系統嚴重塞單，業者估計投資人超額損失1億元以上。

7月 1.台灣期貨交易所系統當機31分鐘，投資人、期貨商、期交所同仁，大家都委屈，因為當初系統未能通盤長遠規劃，以至於必須隨業務量不停拼湊擴充。
2.外交部駐英國代表處，核發汪傳浦妻子驗證授權書，全國嘩然。外交部聲稱汪傳浦家人名單通知書已送至海外駐點，但承辦人員強調一切按照標準作業程序，不該送公懲。

8月 新竹市警方同依嫌犯竟然擁有兩張不同的身分證，名子不同、字號不同，她曾留下偽造貨幣的前科，但是新身分證完全沒有這項記錄。

9月 北市『戶政e網通』大當機，全市14個戶政事務所業務停 擺。這系統從8月16日上線到9月14日止，共當機18次。這次當機長達一小時，民眾乾等、戶所人員則奉茶、收件、安撫情緒。

11月 北市聯合醫院於94年正式運作，十家市立醫療院所推動資訊系統整合，引發當機事件，造成醫院停擺近四個小時，掛號、批價、病歷全改為手寫，秩序大亂。

衷心期待：
●政府規劃任何系統，請打破價格標的迷失、擺脫關說壓力，前瞻思考。
●系統導入時多一些規劃，儘可能將不便降到最低，民間單位承受市場的考驗，必須將不便降到最低。

內賊的直接破壞力還是最大
5月 SeedNet前網路通訊程式開發及銷售小組人員，將研發成果轉到親人所開的公司，並於離職前刪除、帶走原始碼，致使公司無法及時維修喪失競爭力。

6月 台灣銀行松江分行發生行員謝世宏監守自盜，盜領客戶存款1.6億。雖然每家銀行都有完整內控制度及作業守則，但未照表操課，就容易衍生人員弊端。

7月 某外商公司發生重大監守自盜案，深獲老闆信賴的該公司會計，獨自負責外匯提兌、存款業務；涉嫌虛設境外帳戶，連續盜領侵吞公款，金額達一億五千萬，大部分已轉至國外。

8月 全球最大聚苯乙烯生產商美商陶氏化學（Dow Chemical）台灣分公司，疑該公司電腦資料庫遭離職高階主管下載大批重要科技資料，並委託律師控告該經理人員背信、妨害他人電腦使用、妨害秘密等罪嫌，該資料庫價值超過200億。

9月 離職員工仍然繼續使用公司email帳號，並從中得知公司的訂單，並直接與客戶聯繫，轉賣其他公司的商品。被原公司得知，報警處理，判刑3個月得易科罰金，以9百元易科一日。

啟示：
●『習以為常』，反而就是『不安全』的開始，相處久了不代表可充分信任。
●資安防護的資源配置，常常擺在防外賊。
●『標準作業程序』逐漸變為『新人作業參考守則』。

殺敵用的國防軍備大量外流
3月 位於台中縣大里市某營區，軍用夜視鏡失竊，從門鎖被破壞到失竊數日後，連長交接才發現失竊，並且報備程序只到旅級單位，整體控管系統明顯失效。

5月 屏東航空特戰營區火箭彈外流（國軍反裝甲六六火箭彈），相關人員竟包括國小訓育組長。

7月 陸軍後勤司令部高雄聯保廠雇員涉嫌盜賣軍品，為數可觀包括包含威力強大的M42、M48戰車砲彈、海軍快艇砲彈、大批50機槍彈、三挺新機槍、全新悍馬車零件。該嫌係利用軍品及中報廢之便，將堪用、新申購或計劃報廢軍品，轉售資源回收業者及二手用品商。

8月 聯勤二彈庫第二分庫，90手槍子彈大量外流，數量超過一萬一千發。

國家機密仍究不敵金錢誘惑
3月 軍情局離職人員曾昭文勾結現職人員陳穗瓊，刺蒐人事調動資料交付大陸情報人員。

4月 1.中科院雇員陳士良透過院內網路取得機密資料，外洩中國大陸。
2.高雄辣妹吸金案，千餘名軍官關名冊外洩，包含艦艇、戰機重要幹部。
3.新竹空軍基地共諜案，空軍士官長在金錢誘惑下，將我國空軍主力的幻象機維修檢查資料交給友人，再輾轉傳真到廣州。
4.軍情局退休情報員，被中國大陸吸收，返台收集法輪功會員資料、台灣。
5.中國新娘資料、海外台獨人士戶政資料、香港立法會議員來台入出境資料。

7月 國內首宗利用無線網路溢波，上網盜刷信用卡。嫌犯取得民眾信用卡資料，盜用鄰居無線網路上網盜刷購買遊戲點數，獲得寶物後再拍賣牟利。

無線網路防護何時起飛？
7月 國內首宗利用無線網路溢波，上網盜刷信用卡。嫌犯取得民眾信用卡資料，盜用鄰居無線網路上網盜刷購買遊戲點數，獲得寶物後再拍賣牟利。

傳統的實體安全反而最容易忽略
9月 國家最高研究單位中研院，5個月傳出10起電腦竊案，竊賊專偷筆記型電腦。許多院士的珍貴研究資料、重要研究成果，就這樣一起被盜。

鼓勵應用、忘了防護
10月 東新國小原住民網頁教學資料庫留言板，遭網友隨意留言、張貼援交資料、一夜情廣告，染黃超過一個月。

以上資料均取自國內新聞報導資料，資安人雜誌限於人力無法逐一檢視各事件的正確內容；若與事實有差距，或各事件有最新的發展，歡迎來函更正， 來函請寄︰iseditor@asmag.com