上月29號,教育部發布新聞表示接獲資訊公司亞昕通知,指有駭客威脅已獲取該公司所負責的學園校務系統內的學生個資並據此索取費用,除該公司已向警方報案外,教育部也已啟動資安相關的緊急應變措施及調查作業;但本刊接獲爆料,指早在教育部發布訊息前的27號,美國知名駭客網站BF(BreachForums)上,就已經有人在兜售逾2萬筆的失竊學生個資,教育部目前的作為,恐怕只是亡羊補牢而已。
據教育部國教署表示,亞昕公司是於上月12日、14日通知系統遭駭,受害學校則包含台中市私立衛道高中、苗栗縣私立育民工家、嘉義市私立嘉華高中、雲林縣私立文生高中、台南市市立土城高中、南投縣私立普台高中以及桃園市市立內壢高中等7所,國教署獲報即會同資安鑑識人員,赴亞昕公司進行數位鑑識。
初步清查發現,駭客係透過某校系統漏洞,入侵主機,成功執行惡意程式,進而竊取該所學校帳號密碼,並以該組帳號密碼,成功登入其他6所學校系統竊取學生資料,至於其他如學生學習歷程檔案等資料,則未發現竄改、刪除軌跡,國教署已組成專業小組,啟動與亞昕公司簽約的26校之學生學習歷程檔案資料之正確性核對,預計於113年4月8日前完成清查。
亞昕公司則發出聲明表示,駭客此次是直接入侵學校主機竊取個資,雖然學校的主機、防火牆並非其業務範圍,但第一時間獲知仍緊急召開會議並報警處理,呼籲各校應加強相關資安防護措施。
但本刊接獲投訴,早在教育部發布前2天的27號,就有人在美國知名駭客網站BF(BreachForums)上,用"Taiwan 20K Students Personal Data From Assota Information(亞昕資訊股份有限公司)"為題,以csv、dbf、xls等類型檔案兜售個資提供下載,還大喇喇註明附有證號、學生及父母手機、住址、生日等資訊。
投訴人表示,應是駭客威脅亞昕遭拒後,便直接到網上兜售相關資訊,想要藉此獲利,國教署應趕快確定剩下學校是否有受害狀況,警方也應加緊腳步偵辦,避免相關資料成為犯罪集團的工具,導致無辜民眾受害。
【台生個資暗網賣2】15萬台幣能買全國2300萬人個資 美暗網還賣台國安資料
染毒逆子點火「驅蚊」遭制止 竟毆打、騎機車追砍父親
【花蓮強震撼全台】天王星大樓加速拆除 預計2週完成
本文由《鏡週刊》授權提供
Blueseeds天然初萃精油
◤EF海外遊留學專家◢
