《民报》报导,10 月 21 日一份资料被放上知名骇客论坛「突破论坛」 (Breach Forums)贩售,且遭到贩售的是台湾人民的户政资料,其中包括任何人的家人、教育纪录、兵役纪录等诸多细节,且集中在宜兰地区,就连现任县长林姿妙的个资也无法幸免,在论坛上遭到贩售。
根据报导,一 ID 名为 OKE 的骇客声称这些户籍资料的来源为中国民国内政部户政司网站(www.ris.gov.tw)。此次在论坛上兜售的 20 万笔资料集中於宜兰地区,骇客还宣称「此数据跟上次那笔免费的 2300 万个资不同」。《民报》向一名美商资安工程师求证,以一般亲友资料测试,确实可以取得我国真实户籍资料。
连丧偶都有即时记录,20 万宜兰人个资恐被诈骗份子看光光
这样的事件并非首次发生,2020 年,美国资安公司 Cyble Inc 曾指出,台湾全国户政登记资料库已在暗网 Toogod 上贩售,并声称是 2019 年台湾内政部户政司外泄,当时一共 3.5GB 的资料中包含了人名、地址、身分证字号、性别、出生年月日等详细个资,但对此事件,内政部否认资料是从内政部外泄,且也是「很旧的资料」。
但此次与《民报》合作进行求证的工程师以多名一般亲友进行测试,所得资讯都符合「现况」,就连丧偶都有进行资料更新。一名长期关注资安议题的研究员向《民报》指出,这类资料多被诈骗集团买走。个资遭到贩售的还有宜兰现任县长林姿妙、前县长吕国华、林聪贤以及立委陈欧珀。
同一论坛上骇客也曾兜售上海公安十亿人个资
事实上,今年 7 月《路透社》曾报导,在同一论坛 Breach Forums 上也有骇客兜售上海公安外泄的数据库资料,里头包含几十亿条中国公民的个资,包含姓名、住址、出生地、身份证号码、手机号码,所有犯罪、案件详情。
为证明其真实性,发文者还公布了 75 万份纪录样本,并要价 10 比特币,若消息属实,这恐怕成为史上最严重的、世界上规模最大的数据外泄事件。有媒体从样本中尝试联络其中数人,并得到一定程度成功率,因此可信度也跟着提升。
面对这起事件,微博以及腾讯的微信相当迅速地开始审查这个热门话题,而中国政府则保持一贯的沉默,至今没有对此事件做出任何回应。美国《纽约时报》指出,骇客取得上海警方的数据库,凸显中国的两面性,意即:尽管中国在收集大量公民数据方面遥遥领先世界,但在保护这些数据上却不那麽成功。
回来看台湾此次的个资泄漏事件,随着中国、台湾双方情势紧张,更提高了整起事件的敏感程度。此次媒体已经查证证明骇客兜售的个资并非旧资料,政府机构会如何彻查贩售个资者以及背後势力,并确保类似事件不再发生,人民都在等一个明确答案。
好主管秘笈来了!
9 个 how-to 和 3 个 don’t do
让你的领导之路不再心累
>> 立即下载「台湾中高阶主管职场秘笈:向下管理」
(本文提供合作夥伴转载。)