2月23日,《聯合報》獨家揭露,微風集團資料庫遭駭,整個資料庫被人「打包帶走」,90萬用戶個資、發票、訂單與供應商資料,全被放上駭客論壇兜售。微風遭勒索後,隨即向數位部報備,但數位部僅表示,會尋找駭客IP位置,但因IP位置不在台灣,要追查恐有困難。
微風,只是台灣民營企業資安破洞的冰山一角。
台灣航空龍頭華航,會員個資自2023年初開始外洩,累計超過五千筆,被駭客嘲笑「華航的重訊變成連續劇」。
有懂資安的老董 華航仍難抵擋
今年第一季,台灣民營企業一家家淪陷。
華航發言人魯淑慧回憶,「元月初,相關部門就接獲匿名網路勒贖信件後,意思就是『不給錢、就看著辦』,當時初步檢查系統一切正常,沒想到,過沒幾天電商平台出現異常…。」
說起事情源由,魯淑慧強調,是肇因於委外協作廠商程式設計邏輯不當,公司被勒索時就已報警及通報主管機關,發現電商平台異常時,也立即採取防禦措施,阻擋外部不當連線。
根據華航統計,華航電商平台有五千多筆會員資料遭擷取,包括會員卡號、中英文姓名、電子信箱、電話。
若說此事有何啟示?魯淑慧認為,企業必須與時俱進、不斷修練,才能提升防護免疫力。
諷刺的是,華航年報「風險事項評估」上提及:「本公司為強化資通安全,特設立資安小組每年向董事會提報業務執行狀況,董事長謝世謙資歷完備、具資安相關背景,且過去曾擔任先啟資訊公司董事長,熟悉資安治理,可適時監督。」
熟悉資安的老董,卻仍難以避免華航遭駭。
發現破口 企業、官方無法及時回應
繼華航之後,又爆出租車業IRent、百貨業微風早有破口。
2月初,和泰汽車旗下共享汽機車平台iRent大量個資外洩事件終於被曝光,調查顯示包括至少10萬名用戶身分證件、手機號碼、數百萬張信用卡號碼被曝光長達9個月,直到被國外的資安研究員及外媒通報數位部才展開調查。
據美國科技媒體《TechCrunch》揭露,資安研究人員聖恩(Anurag Sen)發現,台灣和泰集團旗下的雲端伺服器內,有一個資料庫擁有包括iRent用戶的全名、手機電話號碼、電子郵件信箱、住家地址、駕照照片及信用卡等資訊,但整個資料庫「並未加密」,意思是,任何人只要知道伺服器IP位置,就可以自由進出、瀏覽甚至備存。
2月下旬,駭客論壇BreachForums有人聲稱,竊得微風百貨的內部資料,其中包含所有的業務資料、公司及供應商的資料、90萬用戶個資、發票、訂單、付款資料,以及30個專案的原始碼,總大小超過150GB,駭客還強調個資含有會員的帳號及密碼,也讓曾在微風消費的民眾擔憂個資全都露。
民眾黨團立院總召邱臣遠感嘆,數位部面對企業個資外洩相關議題,至今只對外說可以通報台灣電腦網路危機處理暨協調中心(TWCERT/CC),對於如何亡羊補牢、事先預防駭客卻拿不出具體對策。
邱臣遠指出,國內資通安全管理法和個資法還沒跟上社會進步的腳步,無法有效遏止犯罪,數位部應確保資安聯防情資及通報機制平台的運作,並加強推廣「隱碼技術」,輔導民間企業改善個資防火牆。
華航自白 只能嘆魔高一丈
微風指出,第一時間立即啟動損害機制、完成軟體及作業系統安全性更新,同時配合警方偵辦調查。民航局則要求華航對事件始末、應變處理及善後措施、未來強化作為等,提出改善報告。
華航員工則私下感嘆,面對駭客,只覺得「道高一尺、魔高一丈」。
作為台灣航空龍頭,魯淑慧強調,華航積極因應,近年已提升資安預算、投注資源,還參照資通安全責任最高等級的A級範疇精進安全系統,成立跨部門的「資安暨個資管理委員會」及「資料保護長」。
公司並採取三大措施,包括:一,委同第三方的資安聯防廠商全面性檢視系統安全,也同步要求委外廠商提升資安管理措施。
措施二,積極精進資通安全系統,實施年度資安健診及滲透測試,每月執行整體系統弱點掃描偵測風險。
措施三,不定期進行全員釣魚電子郵件演練,增進內部資訊人員及員工知識,提升同仁處理外部電子郵件的資安意識。
民營企業都會三令五申資安的重要性,但重點在於能否落實。朝陽科技大學飛航系主任盧衍良就說,加強內部教育及員工意識,是一大課題。
資安體檢 航空旅遊業多有破口
資安檢測品牌Cymetrics近日發布的台灣航空旅遊業資安曝險調查報告,就發現台灣15家知名航空旅遊業者中,有14家出現帳密外洩漏洞,意指企業內部未對正確的帳號密碼使用行為(如不應將公司帳號使用於社交網站)進行宣導,致員工資安意識不足、帳密外洩。
Cymetrics去年就已針對台灣百貨業發布資安曝險調查報告,針對10家知名百貨業者的外在資安曝險情形進行評級與分析,強調近來大型百貨業者因應數位轉型的浪潮,以及疫情所帶來的消費者行為變化,陸續推出自有的電子支付工具及電商平台。
當時就點名,半數業者疏於管理電子郵件安全,四成業者帳號密碼外洩,包含微風廣場、新光三越、誠品及遠東百貨。
作為台灣民營企業的監督者,Cymetrics商務開發總監方亨謙說,台灣企業普遍出現業者內部員工帳號密碼外洩漏洞,容易讓駭客對公司內部執行釣魚信件或直接滲透各項系統。另一個相關漏洞,就是電子郵件的安全性設定,駭客則可以透過業者的相同郵件網域,外部發送惡意郵件給民眾與員工,進而導致資料外洩的情形發生。
KPMG執行副總經理林大馗示警,企業當務之急,必須先由獨立第三方,針對資安體質與現況進行詳細的健康檢查,並盡速辨識並修補漏洞。
各行各業的數位化已是現在進行式,但各資訊系統導入及第三方系統介接中,方亨謙說,民營企業資安投入比例太低,且對風險的識別認知不足,都仍是台灣一大危機。
