資安漏洞
」 資安 駭客 個資 民眾黨 資安漏洞
揭起重機資安疑慮 立委籲補助排除陸黨政軍企業
立法委員鍾佳濱、林楚茵與經濟民主連合智庫召集人賴中強23日開記者會指出,陸製的碼頭智慧型起重機有資安漏洞,可透過網路遠端存取,已受美國國會調查,呼籲勞動部對起重機補助時,應排除中國大陸的黨政軍相關企業,並加強對關鍵基礎設施檢核資安。鍾佳濱揭露,近年來台灣引進不少中國大陸製移動式起重機,應防範智慧型起重機對台資安、國安造成的潛在威脅,他在8月15日召開協調會時,討論勞動部職業安全衛生署的「移動式起重機汰舊換新及強化安全作業補助要點」,發現陸製主要的徐工、三一、中聯等三家起重機製造公司皆為中共人大代表持有,為防資敵,補助對象應排除陸製移動式起重機,另所有補助起重機之荷重電腦及資通訊設備皆應排除中國大陸製造。林楚茵表示,資安即國安,中國大陸製資訊產品存在潛在安全風險,國防部已禁止陸製設備,公共工程和國營事業應效仿。她表示,行政院應盡速推動「資通安全自主化」,推行國產資安產品認證,降低資安供應鏈中斷的風險,確保國家關鍵基礎設施安全,政府應該盤查具有資安疑慮廠商,並且揭露相關資訊,攔阻敵對勢力入侵關鍵基礎設施。賴中強表示,今年三月華爾街日報報導,美國國會對全美港口裝設的中國製起重機進行調查,發現上海振華重工起重機具有能遠端存取的蜂巢式調變解調器。美國海岸防衛隊網路司令部指揮官范恩就港口起重機一事向眾議院國土安全委員會作證說:「我們發現(起重機)存在刻意設計的漏洞和弱點。」同樣的風險,不只存在於台灣的港口,台灣的軍事基地與關鍵基礎設施。賴中強說,2022年8月美國眾議院議長裴洛西來台,台鐵與超商的廣告看板出現「戰爭販子裴洛西滾出台灣」。過去經民連一再倡議監視器與廣告看板應該禁用中國大陸製的軟硬體設施,建議行政院國土安全政策會報,應盡速確定禁用陸製監視器與廣告看板的實施步驟與期程,從公部門、關鍵基礎設施、公眾出入場所開始禁用,並設立「資通訊產品去中國化產業鏈」的認證中心。鍾佳濱表示,行政院國土安全辦公室應盤點各機關及關鍵基礎設施,視個案履約地點、履約過程之相關保密與資安需求等級,及市場供應情形建立檢核表,對於機具或勞務針對其操作範圍去做限制,透過檢核表評估是否使用禁止特定地區之產品,或就其中特定零組件、控制晶片、紀錄晶片、傳輸晶片等,進行管制之必要,各機關單位應於契約中要求廠商提出產品產地來源或零組件安全等證明文件;而後續機具維修保固中國大陸技術人員來台協助時也應注意,避免其偷渡中製晶片。勞動部表示,未來將配合修正補助要點,交通部航港局也補充,橋式與門式起重機共有431座,其中中國大陸製就包含99座,而雖然台灣港務公司認為,因操作軟體多以日、韓、德等國製作,並且為封閉軟體,資安疑慮較少,但還是會加強對業者稽核,並函請數發部提供建議協助改善,目前基隆港與高雄港已透過外部稽核檢驗。行政院公共工程委員會表示,未來會透過源頭管理採購把關,也會與國土安全辦公室研究採購契約範本,並且於勞務履約的進場設備也有通案性措施。
藏身破屋!2男盜錄電視頻道轉售 侵害台日電視台10億元
刑事局日前清查網路賣場時,發現賣場上竟有人販售可線上收看有線電視的軟體,進一步追查後,國內外至少有17家電視台因此受害,時間更長達2年,粗估不法侵權市值至少10億元。警方日前見時機成熟,一舉前往43歲李姓與47歲陳姓主嫌住處等地搜索,當場查扣機上盒、編碼器等,並將2人全數移送法辦。據了解,曾因違法著作權法而遭判刑的43歲的李姓男子與47歲的陳姓男子,其自2022年起透過蝦皮、臉書等社群軟體,販售年收費950元的「晴天 TV APP」,民眾只要購買後就可以在網路上收看有線電視頻道。警方清查網路賣場發現後,該軟體透過盜錄有線電視的訊號源,非法竊得多家電視台訊號源檔案。案經衛星廣播電視事業商業同業公會受任非凡傳播股份有限公司等17家電視公司提出告訴外,另侵害日本一般社團法人內容產品海外流通促進機構(簡稱CODA)之會員公司,包括TBS、Fuji TV、NTV及TV Asahi等四大電視台之著作財產權。警方過濾非法有線電視盜錄機房實際位置,經長期跟監、蒐證,發現李男承租空屋作為盜錄機房使用,為了掩人耳目,李男甚至刻意租下外觀幾乎已經廢棄的房屋,再由陳男利用各種網路行銷販售該非法OTT軟體,並時常更換帳號躲避警方查緝,2人合作無間,粗估2年內至少讓電視台損失10億元。全案詢後依違反著作權法將2人移送地檢署偵辦。警方呼籲民眾勿使用違法機上盒或軟體觀看,安裝未經安全驗證之軟體APP不僅可能淪為資安漏洞,隱私資料遭到外洩之風險,亦成為侵害著作權法的幫兇,應使用合法機上盒收看電視,以保障收視品質及服務,現為2024巴黎奧運賽事期間,警方將持續針對相關案件加強查緝,以確保我國智慧財產權保護之完善。
數位部外洩民眾履歷個資 魯明哲:大水沖倒龍王廟
立法委員魯明哲今(27)日在立法院交通委員會上質詢指出,上周有民眾向數位發展部所管轄的電信技術中心投遞履歷,卻因不明原因遭個資外洩,使該民眾不斷接到詐騙電話騷擾。魯明哲痛批,「真的是大水沖倒龍王廟」,連數位部所屬單位的個資維護保密都如此不堪一擊,其他公部門又是如何呢?魯明哲說,數發部成立的初衷就是資安防護與資安建構,更是負責我國資安防護的主管機關,預算總額達73億,結果自己轄下單位的資安都有漏洞,令國人如何信服?數位今天送立法院的業務報告和打詐專報,洋洋灑灑寫了75頁、列舉了數十點防護措施,且主要均由數發部主責,可是帶兵打仗的主帥無法嚴格把關資安漏洞,那麼下屬又該何去何從?「自己資安都管不好了,要如何頒布指引、教導其他部門資安該怎麼做,恐怕已是未戰先敗。部長應該先代表數位部向國人道歉!」魯明哲質疑,數位部今年編列超過千萬國外旅費項目,而國外旅費開銷最大宗是開會,花了這麼多錢去交流、分享,難道是為了出國分享數位部轄下機關資安外洩的醜事貽笑國際嗎?他指出,雖然30個出國計畫目的皆有不同,例如有關資安防護的美國資訊安全大會、美國與新加坡的資安頂級會議,此外也有關於英國的數位發展會議、德國的國際傳播協會等等。「不能說資訊發展不用做,但能不能先把國人最關心的資安問題擺在第一位。」魯明哲說,國人最關心的資安議題、防詐堵詐都沒搞好,那還去搞甚麼大數據、AI應用?他說,數位部可不可以不要那麼好高騖遠,做事要有輕重緩急,我國當前最重要且最緊急的就是資安問題,「連你們數位部自己的單位都可以個資外洩,那還真的不敢想像其他公部門未曝光的資安外洩事件有多嚴重。」
故宮文物圖檔外流 再爆研究員遠端打卡資安漏洞
今年3月故宮發生高畫質文物圖檔外流風波,除了權益受損,各界更擔心若有資安問題會造成更大的衝擊,然而事件後故宮內部管理依舊鬆散,據知情人士透露,故宮南院一名賴姓助理研究員,多次在家使用遠端打卡,不僅偽造出勤紀錄,更令關心人士擔心故宮的資安會出現漏洞。據悉,故宮南院賴姓助理研究員,曾多次使用遠端連線打卡,實際上卻遲到缺勤,院內人士指出當事人還曾有假日值班未到勤,以及擅用職務之便使用辦公室,讓閒雜人等隨意進出,罔顧館藏文物維安等違規情事,向行政院和立委舉報,才使事件被曝光並進行調查。據故宮政風室的調查,賴姓助理研究員確實曾於111年間「曾有未依規定使用VPN遠端連線作為出勤刷卡紀錄之違規情形,惟尚無發現未到院出勤之異常情形」此項僅以督導長官嚴厲告誡在案作結。院內人士認為此事涉公務員曠職、偽造出勤紀錄,過去類似案件發生在一般企業即以解聘處置,故宮顯然管理過於鬆散。此外,知情人士指該當事人曾有假日值班未到勤,卻藉故加班至深夜的陋習,且已在故宮任職10年,在被檢舉後卻以不清楚執勤制度及打卡規範為由,未受懲處。故宮政風室的調查則是指出「當事人於111年確曾有假日值班未到勤之違規情形,其針對假日值班缺失提出檢討報告,並層級陳核自科長、專門委員至處長,業遭長官嚴厲告誡並返還補休時數在案。嗣後賴員皆合於規定時間內到勤刷卡,尚無發現新違規事實」。至於該員藉故加班,政風室調查於112年4月至5月間,確實有加班時數未覈實之異常情形達9次,將由南院處檢討改進並追究行政責任;至於讓閒雜外人進入辦公室,經調查則無發現有重大違規使用的情形。
「企業會員資料看光光」電子發票平台爆資安漏洞 財政部亡羊補牢
財政部「電子發票整合服務平台」爆發重大資安漏洞,民眾發現,只要輸入企業統編、政府提供預設密碼,就可以瀏覽企業會員資料,受影響企業共有超過130家上市櫃公司。數位部及財政部今赴立院交通委員會就此事做專案報告,數位部表示,將宣導各機關應全面盤點業管系統,強化系統帳號密碼強度及管理制度,避免類似情事再次發生。國內1789家上市櫃公司,其中78家上市、56家上櫃公司企業沿用政府提供的預設密碼,其中以光電業者最多,其次為半導體、電子零組件業;此外,連中華郵政、台鐵等國營事業或行政法人等組織,也有相同問題,資安管理門戶洞開。財政部財政資訊中心官員表示,公部門單位開立電子發票資料主要為行政支出及紀念品項目,無涉國防採購。且從得知問題後,財政資訊中心即亡羊補牢,著手改善。數位部報告指出,台灣電腦網路危機處理與協調中心在10日轉知數位部資安署,資安署立即聯繫財政資訊中心確認及應處,並要求財資中心進行資安事件通報,及督促相關改善措施,包含預設密碼隨機產生、強制更改仍存有預設密碼帳號,以及首次登入強制變更密碼等。財政部官員呼籲,部分仍使用政府預設密碼的單位,能盡快進行變更。數位部表示,財資中心將在今日行政院國家資通安全會報期間,報告這件事件應處及強化作法,作為各機關借鏡。此外,為精進資安防護作為,將宣導各機關全面盤點業管系統,強化系統帳號密碼強度及管理制度,並於機關資安稽核項目中,將系統密碼合宜性納入稽核項目,以協助機關強化資安防護。數位部強調,藉由與各機關聯防及快速通報應變作為,以強化我國資安防護韌性,並將持續推動資安法遵各項防護規範,以及精進資通安全管理措施,並透過適當風險管理機制,以維護國家整體資通安全。
國內資安事件頻傳 民眾黨:放任詐騙成台灣日常
台灣民眾黨今(10)日在臉書上發文表示,去年10月開始,資安事件連環爆,先是2300萬筆戶政資料外洩、健保署高官盜賣民眾個資賺得盆滿缽滿、iRent資料庫未上鎖,40萬筆個資在雲端「裸奔」被看光光,可是政府不願做事,放任詐騙變成台灣日常。民眾黨表示,iRent資安曝險公路總局大動作開罰新台幣20萬元、台北市與新北市交通局各祭出9萬罰鍰,業者也依個資法通知當事人並提出補償。但內政部、健保署個資外洩卻無人可管,部會噤聲絕口不提補救措施。中央敷衍塞責又帶頭不守法,才會造就如今台灣個資不安的困境。民眾黨指出,民眾接詐騙與行銷電話接到手軟,政府眼見擋不住輿論壓力,終於想起被他們擱置3年多的獨立個資管理專責機構,國發會承諾一個月內提出籌備期程。必須提醒,新內閣只剩一年多任期,所以請行政院長陳建仁拿出魄力,切莫以拖待變置民眾個資安全於不顧。民眾黨表示,不知還要等多久,蔡政府「資安即國安」才會從口號進化成具體行動?台灣資安漏洞百出,蔡英文總統卻宣示「資安即國安」進入下一階段,民進黨政府一路走來始終如一,將口號治國的理念貫徹到底。民眾黨曾三度邀集數發部、國發會、資策會研議完善《個資法》,奈何各部會只會互踢皮球,拿不出精進作為。民眾黨表示,所以要呼籲台灣應該比照韓國與新加坡經驗,成立主動調查的獨立監管機關,並參考歐盟「一般資料保護規則」(GDPR)加強事前監督與事後追償力道,唯有補足現行《個資法》才能避免類似事件一再上演。
陳建仁接閣揆31日上任!在野盤點「5大挑戰」:發放現金首要處理
蔡英文總統27日正式宣布由前副總統陳建仁接棒行政院長蘇貞昌組成新內閣,預計31日正式走馬上任,在野盤點多項重大議題,包括攸關普發6000元現金的全民共享特別條例草案、2300萬筆戶政資料外洩、最低工資法制化、勞保年金改革及礦業法修法,期盼新閣揆能開創新局承擔挑戰。國民黨、民眾黨皆認為,陳內閣上任後,應優先處理先前行政院所提的「疫後強化經濟與社會韌性及全民共享經濟成果特別條例」草案,當前立法院審查時朝野未能取得共識將保留協商,加速普發現金時程,且發現金不得以舉債支應,而時力雖持相同意見,但反對無差別普發,建議給予有條件的現金津貼。在野盤點陳建仁上任5大考驗。(圖/報系資料照)由於陳建仁過去曾任年金改革召集人,2016、2017年推動軍、公、教、勞的年金改革,當前僅勞保改革沒動,眼看勞保年金瀕臨破產,事關1000萬名勞工權益,3大在野黨紛紛呼籲陳建仁既然對此業務不陌生,就沒有理由再拖,應盡速提出改革方案,而非拖到下任政府,若真的不想改革,也應撥補一定金額。蔡英文2016年競選總統時曾提出制定「最低工資法」政見,在野也呼籲勞動部儘快制訂法律,用制度化的公式保障最低工資,而不是一再仰賴執政者的「恩給式」調薪。當前勞動部所提的草案仍在行政院內備查,而《礦業法》修法進度歷經6年,目前仍在經濟委員會審查,時力主張刪去霸王條款,並於新會期完成三讀。在資安方面,近期內政部、健保署接連發生數起國人個資外洩事件,時代力量立法院黨團總召邱顯智披露後,內政部1月公開承認外洩以戶政資料為主,並承諾在2個月內提出調查報告。時力呼籲,除跨部會與數發部資安署合作外,應確實查核各級中央與地方政府機關及國營企業的資安漏洞,別讓「資安即國安」淪為口號。
2300萬筆國人個資在論壇兜售 民眾黨:唐鳳還在點麵線
日前台灣有2300萬人個資疑似從戶政機關外洩,台灣民眾黨今(18)日於臉書發文表示,數位發展部擁200億納稅錢卻無視全國民眾個資外洩,而部長還在點麵線,「作秀完了也幫執政黨檢討抖音了,數發部是不是應該做正經事了?」。民眾黨指出,民眾以為數位發展部會幫國人守護資安、強化AI應用,但實際上的數發部,坐擁200億納稅錢,卻無視全國民眾個資外洩而部長唐鳳甚至還在點麵線。民眾黨表示,唐鳳部長給了民眾「五告受氣」的體驗,在2300萬人個資疑似從戶政機關外洩的第53天,民眾勞保、兵役、身分證全都露,就連蔡英文總統、陳明通局長、眾多立委都受害,唐部長搞不清輕重緩急,還在為推廣民間早已普及的點餐系統沾沾自喜。民眾黨指出,個資外洩後,唐鳳部長兩手一攤,要求各部會先做好自身個資管理,又表明需要「2年時間」導入新系統,甚至把責任往外推,宣告須再成立保護個資的專責機制、再找一位主委負責。即使資安漏洞已成國安破口,唐部長還是以拖待變,直接打臉政府「資安即國安」口號。民眾黨表示,無力維護資安的數發部不只有閒吃麵線,還有時間幫執政黨討公道,日前民進黨檢討小組歸咎抖音是敗選原因之一,以資安為由,規定行政院轄下公務員使用抖音就懲處,其他4院預計比照辦理,不過民進黨立委卻能擁有抖音帳號,果真是「綠能你不能」。民眾黨指出,沒人在乎官員怎麼吃麵線,而是希望看見政府徹查個資流向、積極防堵,現在麵線吃完了,公帑花掉了,部長作秀完了也幫執政黨檢討抖音了,數發部應該做正經事了。
卡達世足、A片無限看「侵權164億」 黑盒子狂銷5千台!警逮7人
2022年卡達世界盃足球賽開打,不少民眾為了省錢購買俗稱「黑盒子」的非法機上盒觀看,刑事局電信偵查大隊執行「淨頻專案」,逮捕林姓男子等7人,粗估已賣出5千台,民眾只要花2800至3500元,包含最近熱門的世足賽、A片、電影、影集等,通通無限看,國內和日本電視台合力提告,侵權市值逾164億元,全案依違反《著作權法》送辦。刑事局電信偵查大隊第二隊表示,今年7月受理國內13家電視台委任的衛星公會,以及代表日本5家電視台(FUJITV、NTV、TBS、WOWOW及TV Asahi)的「一般社團法人內容產品海外流通促進機構」(CODA)提告,指出國內有人從合法電視畫面盜錄後,再透過機上盒傳送,業已侵權。專案小組經連月蒐證,於先於7月中旬在桃園地區查獲運作中之影音盜錄機房1處,查獲廖姓主嫌到案。11月9日搜索機上盒相關業者時,查獲機上盒業者林男等6人,查扣非法機上盒312臺、包裝盒、廣告單、遙控器、標籤等證物。警方查出,他們透過網路至少已賣出5千台,營收逾2百萬元。詢後,包括林男等7人,依違反《著作權法》送辦。警方提醒,切勿使用違法機上盒觀看未經合法授權之影視內容,此舉除助長非法業者盜錄影視行為外,也侵害著作權人的權益甚鉅。另外,廉價機上盒設備及非法APP接上國內寬頻網路可能淪為資安漏洞,未來將持續取締販售盜版侵權的各類非法機上盒。
博客來詐不完1/疑內鬼洩個資坑殺近3000會員 警擬助集體訴訟阻詐
刑事警察局日前公布2022年第二季受理「解除分期付款詐騙案」,其中號稱全台最大、擁有百萬會員的「博客來網路書店」居高風險賣場之冠,財損逾億元,警方質疑該公司有內鬼在販售會員個資,但博客來僅以「不排除可能性」回應、態度消極。據統計,今年1到9月有80多家知名電商因詐騙案在高風險榜上有名,卻只有不到3成電商投入資安維護,警方為防止企業擺爛,讓無辜會員成俎上肉,未來只要同一電商受害者超過20人,將和消基會聯手幫助受害人打集體訴訟官司、對抗大鯨魚,捍衛民眾權益。警方表示,今年4月到6月,民眾通報在網路賣場「博客來網路書店」消費,後續接到假客服詐騙案,3個月高達2725件,更驚人的是財損總額逾億元,其中,一名A小姐遭詐1千1百多萬元。當時A小姐人在國外,對方來電表示她在網路書店購物結帳時設定錯誤、被重複扣款,A小姐不疑有他,依指示將帳戶內的存款匯入對方指定帳戶,匯完後她才驚覺不對,「這是詐騙,我在博客來的個資外洩」,趕緊要在台灣的丈夫幫忙報警。而另名B先生,則是接到自稱博客來客服的電話,表示公司遭駭客入侵,導致款項多刷10筆,並稱後續會請某銀行協助處理,接著果真有銀行人員打電話來,要求B先生從網路銀行及ATM匯款至其指定帳戶,然後一名自稱銀行女主管來電,要他將指定帳戶設為約定帳戶,指示繼續匯款到該帳戶云云,B先生來不及細想全部照做,總計損失990萬元,痛批詐團假冒博客來人員太可惡。詭異的情況還有民眾在博客來網路書店購物,2天後就接到詐團冒名博客來客服電話,差點受騙上當;甚至一名警官表示,他未滿16歲的女兒在該網站註冊會員,某天接到警示通知信,表示有人修改其博客來會員密碼,警官爸馬上意識到恐有機器人正在偷密碼竊個資,要求女兒趕快將各網站密碼全換掉。刑事局研發科代理科長莊明雄指出,只有3成知名電商願意著手改善資安漏洞。(圖/黃威彬攝)針對博客來詐騙案件量大,警方積極介入了解,刑事局研發科代理科長莊明雄表示,曾要求博客來從內部資安、請第3方資安單位抓問題,甚至一併檢視物流業者,但博客來竟給出「沒漏洞」、「資安沒問題」等結論,警方大膽假設該公司可能有內鬼,對方竟回答「不排除可能性」。某專業資安漏洞平台日前也曾通報博客來帳密容易遭竊取、警示資安有問題,種種狀況都讓警方認為大企業態度擺爛會助長詐騙行為,因此未來除了報請檢方啟動刑事調查,以《詐欺罪》之幫助犯方向偵辦,釐清企業員工是否幫助詐團、企業有無縱容,另方面也將推動受害者達20人以上,警方即與消基會等單位聯手幫助提集體訴訟,等同對企業施壓,迫使他們正視個資外洩問題。本刊調查,博客來於1995年成立,資本額2億元,是台灣第一家網路書店,接著又從網路書店轉型為綜合網購商城。目前博客來是國內不分線上線下、紙本書最大通路,網站圖書品項數超過200萬冊,業務範圍遍及台、港、澳以及新加坡、馬來西亞、菲律賓及美國,可配送到全球141個地區,註冊會員數達950萬,以女性會員居多約占6成左右。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。 假客服人員以重複扣款等話術詐騙會員,今年第二季警方統計有2725件,對此,博客來官網特別加上警語提醒民眾小心。(圖/翻攝博客來官網)
博客來詐不完2/會員個資外洩只肯給2千折價券 雄獅旅遊開「集體訴訟」先例
詐騙猖獗,警方統計今年第二季「解除分期付款詐騙案」,號稱全台最大的「博客來網路書店」以2725件名列高風險賣場冠軍,警方不排除該公司有內鬼盜賣個資,將著手清查,另外也將協助被害人進行團體訴訟。其實,2017年雄獅旅遊因駭客入侵,36萬筆個資外洩,當時消基會即曾協助25名被害人提告求償,成為國內首宗個資集體訴訟案。警方表示,號稱擁有百萬會員的網路賣場「博客來網路書店」,疑似會員個資外洩,詐騙集團再冒充博客來客服人員去電會員,誆騙「重複扣款」等,要求被害人操作ATM或網路銀行匯款,其中一名A小姐遭詐1千1百多萬元,還因此差點得憂鬱症。刑事局研發科代理科長、擁有台灣科技大學資訊管理博士學位的莊明雄指出,警方介入了解後發現業者處理資安漏洞態度消極,不排除有企業內鬼盜賣個資,除將請求檢方指揮偵辦,另外一方面也將幫助受害者打集體訴訟官司,如超過20人受害,警方就會與消基會聯手幫民眾討公道。此外,如何「有效認明」第三方資安業者的技術能力,防止濫竽充數,未來將不排除公布相關數據資料讓民眾知悉。\博客來會員A小姐接到假客服電話遭騙1千1百多萬,博客來才向警方表示資安沒問題,但9月13日在資安漏洞平台上又被通報出包。(圖左/示意圖非當事人,報系資料照。圖右/民眾提供)對此,律師戴智權表示,民眾如遭遇類似詐騙,除了先報警外,如欲提告求償,得先保留完整匯款等金流明細證據,因為按照《個人資料保護法」》28條規定,如被害人不能提出所謂賠償損害,賠償金額僅為500元到2萬元。他解釋目前法院態度分為2派,一派認為民眾因聽信詐騙集團說詞導致財損,與個資外洩一事不見得有所關聯;另一派則認為被害人也要附帶相當責任,尤其近年來政府大力宣導,且各種防詐廣告甚至ATM上都有貼警語,民眾大概要自付7成責任,也就是如果遭騙10萬,如真的勝訴賠償金額約3萬元。本刊調查,國內首宗個資受害團體訴訟案為2017年雄獅旅行社電腦主機遭駭, 36萬顧客的身分證等個資被竊取,歹徒假扮雄獅人員,宣稱下單過程有誤,要被害人到提款機操作詐騙錢財,總計25人被害。案件發生後,雄獅表態僅願賠償每人2千元折價券,雙方協商未果,消基會依《個人資料保護法」》、《消費者保護法》及《民法》代25人提告求償450萬9575元。律師戴智權表示,如遭遇類似假賣場客服詐騙,民眾應先報警,如欲提告求償,也得保留完整匯款等金流證據。(圖/戴智權提供)一審士林地院認為,這是第3者惡意入侵,雄獅有善盡管理責任,2019年11月間判消基會敗訴。判決出爐後,消基會提出聲明痛批《電腦處理個人資料保護法》從2015年8月11日公布施行,後又更名為《個人資料保護法」》,但企業對於個人資料保護觀念仍停留在「個資外洩是他人不法犯行,企業本身對於消費者受到的損害不需負擔法律責任」之程度,消基會無法認同此一判決且提出上訴,目前該案進入高等法院二審中。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。
民眾黨批數發部200億預算讓人看不懂 高虹安:唐鳳別賣弄專業
數位發展部日前正式掛牌,2023年度預算編列超過200億,然而所謂「多元宇宙科」、「民主網絡司」,都讓外界霧裡看花。民眾黨立委張其祿、邱臣遠及高虹安今(2)天舉行記者會,要求數發部長唐鳳清楚向民眾說明施政方針,接受監督。高虹安說,唐鳳對外說明數發部單位職掌,卻沒人聽得懂在說什麼,她向唐鳳喊話,部會首長不是水仙花顧影自憐,不需要賣弄自己專業領域的知識。張其祿說,台灣民眾每天飽受個資外洩、詐騙訊息的荼毒,可是數發部掛牌近一週,國民及在野質疑聲浪不斷,更有輿論擔心數發部成為內容監理機關,反映出唐鳳及數發部「資訊公開」及「與民溝通」的兩大基本工作明顯不足。數發部應統一對外說明包括年度預算及特殊預算運用方式、各部門工作內容職掌、人才招聘及錄取資格等問題。此外,也應該布局深耕台灣資訊安全人員教育,優化人才選用體系,而非從業界搶人才。他強調,民眾黨將強力監督數發部,督促政府有效解決台灣資通安全與數位發展困境。邱臣遠說,數發部217億預算當中,有160億是前瞻預算第四期相關業務,從原業務機關移撥到數發部,預算挪用後如何支用,有相當大的疑問空間。數發部旗下有6司2署,過去由資通安全處研擬的國家資通安全基本方針、政策及重大計畫是否延續,具體資安藍圖等相關內容全數從缺,有民眾有質疑「數發部上路後,還會收到防疫詐騙嗎?」邱臣遠認為,數發部應與社會對話,並立即端出數位牛肉,積極處理資安漏洞與網路詐騙等犯罪行為,同時輔導數位產業發展,才能獲得社會信任。高虹安指出,數位發展部正式掛牌後,這幾天立法院終於收到預算書。除了前瞻計畫的160億之外,數位發展部、數位產業署、資通安全署分別有21億、27億以及8億的預算。數發部花7000萬租大樓、3000萬裝修、1400萬出國考察,其他如「6G產業先期研發計畫」的3億、「自動化及智能化主動式防預以創建具韌性之國家關鍵通傳網路計畫」的1.1億,這些過去是科技部與通傳會的計畫,轉到數位發展部之後將會有什麼樣的變動?這些大手大腳的預算編列,唐鳳部長都應該對外說明清楚。「部會首長不是水仙花顧影自憐,最重要的工作是向社會大眾解釋政策。」高虹安直言,唐鳳對記者說明「多元宇宙科」的目的,遠遠超過了一般人的認知範圍,簡單說就是沒人聽得懂唐鳳部長在說什麼,呼籲唐鳳部長未來在發表自己的觀點時可以更貼近人民的生活,避免過多的專業名稱,遑論元宇宙的概念各國都還在努力,不需要賣弄自己專業領域的知識。
Android手機4系統藏「不明代號」 網銀APP恐遭入侵
韓國3C大廠三星(Samsung)驚爆資安漏洞,網路資安公司「Kryptowire」近日調查發現,搭載Android的各系列機型中皆有一組神秘代號,而駭客可透過這組代號在遠端接管使用者手機,除了可獲取手機資料外,還可撥打電話、安裝及刪除應用程序,甚至將手機恢復原廠設定,嚴重侵犯使用者隱私。根據《Businesswire》報導,Kryptowire表示,三星手機凡是搭載Android 9、Android 10、Android 11、Android 12系統的設備中,皆有一組「CVE-2022-22292」的神祕代號,駭客恐將透過此代號綁架手機,造成極嚴重的資安漏洞。據悉,此漏洞可讓駭客在使用者未察覺的狀況下遠端操控手機,包括撥打電話、安裝與刪除任何手機內的APP、透過安裝未驗證的憑證方式削弱HTTPS的安全性,且還能將手機恢復原廠設定,除了清空手機資料外,駭客還可駭進手機網路銀行,盜取金錢,造成使用者財物損失。Kryptowire在發現該漏洞後,已立即回報三星公司,業者也隨即進行修補,並於今年(2022年)2月將程序修正完畢,Kryptowire也提醒三星用戶,盡快將手機更新至最新版本,確保手機安全。
iOS 15瀏覽器爆嚴重資安漏洞 蘋果官方急忙釋出15.3版緊急更新
iOS 15瀏覽器爆嚴重資安漏洞 蘋果官方急忙釋出15.3版緊急更新蘋果iOS 15系統近日傳出有資安漏洞,內建的Safari瀏覽器被爆有問題,駭客可以透過瀏覽器的漏洞取得、追蹤用戶在網站上的瀏覽紀錄,甚至直接取得用戶Apple ID與Google帳號密碼等個人隱私。而目前蘋果官方已經釋出最新版iOS 15.3版系統來修正漏洞。根據《MacWorld》報導指出,近期蘋果已經釋出iOS 15.3 RC版系統,提供給開發人員進行測試。這版系統主要是以安全性更新、修復錯誤為主。而其中就以修補Safari瀏覽器漏洞為主,同時也修改了iCloud私密轉送的文字說明,讓使用者可以透過更淺白的文字,理解裝置不支援私密轉送的原因。除了以上的修補外,另外還修補了存在於HomeKit應用程式上的錯誤漏洞,以防止駭客透過更改設備名稱的方式,癱瘓用戶的iPhone或是iPad。
網路下單「強制」改登入密碼 股民做這一動作遇駭客恐自行負責
國內至少8家證券期貨商遭到駭客入侵,引爆網路複委託下單的「1125密碼撞庫攻擊」重大資安事件,受到股民投資人關切,證交所在今年台股開市第一周即邀集券商確實執行加強資安防護措施,且須「強制」所有客戶更改登入系統密碼及更新憑證,並以人工審核方式核發電子交易憑證,確保交易安全。金融法制暨犯罪防制中心董事長邵之雋則提醒,進一步了解遭駭客入侵的客戶,部分是有使用一些提供記帳、理財帳戶管理服務的App,但證券商依法其實未與這些App有合作串聯網路平台,卻因App供應商逕行請民眾將登入券商的帳號、密碼,交由他們一併整合服務,不僅讓民眾誤解以為可直接連結券商網路,也因此造成資安漏洞。邵之雋表示,這些App供應商也已緊急關閉該功能,此次券商雖都自行吸收被下單的金額損失,但若依法律層面來看,若是因為民眾同意將自己的帳號密碼提供他人代為登入券商網路系統,而非券商的網路系統有資安漏洞的話,所產生的損失可能就是要由民眾自行負責,因此提醒民眾莫私將金融帳號密碼提供給他人使用。金融法制暨犯罪防制中心董事長邵之雋強調,若由民眾自行同意提供自己的金融帳號密碼給他人代登入網路使用,所產生的資安損失恐得由自行負責吸收。(圖/馬景平攝)國內有凱基證券等至少7家券商、1家期貨商,在2021年「1125密碼撞庫攻擊」資安事件中,陸續遭到駭客入侵網路複委託下單,有的券商因此損失2千多萬元,有的則是發現登入異常案件後緊急防堵成功。臺灣證券交易所與金管會等單位相當重視此資安事件,於今年1月7日邀集國內所有提供網路下單服務之證券商,研商及重申應落實資安相關規範,並呼籲投資人本身亦應加強注意交易安全。證交所表示,所有提供網路下單服務之證券商,已採行或進行客戶登入系統、申請或更新憑證採雙因子驗證機制的系統修改,證交所並呼籲投資人,應及時更改密碼並採用優質密碼,妥善保管帳號及密碼,不要在其他網站,提供或共用相同的帳號密碼,以維護自身權益。證券商在完成雙因子系統修改前,應在短期內採行相關防範措施,以降低資安的風險,例如:強制所有客戶更改登入系統之密碼,更新憑證,以人工審核方式核發電子交易憑證,以確保交易安全。另為發揮資安聯防效益,與會人士建議,證券商應加強通報,強化資安事件資訊分享,例如將被登入之帳戶、駭客使用之IP及手機UID等資訊,提供給證交所及櫃買中心彙整及分享,藉以協助業者強化資安防護能力。
遭駭不重訊4/製造業資安太脆弱 立委:國家隊要動起來
台灣最重大的資安事件發生在二○一八年八月,受害者還是「護國神山」台積電。當時由於一名操作人員未依照SOP掃毒新進機台,導致名為「WannaCry」的勒索軟體趁隙侵入,造成三大廠區部分機台停擺三天,損失高達新台幣五十二億元。台積電二〇一八年發生新機台被勒索軟體入侵危機,所幸在四十五小時內就處理妥當。(中)台積電總裁魏哲家(圖/報系資料庫)一名資安人員感嘆,許多製造業大喊「工業四.○」口號的同時,卻仍把老舊設備系統連上網,這就是悲劇的開始,「因為這些老舊的設備系統,真的很脆弱,相當容易被發現資安漏洞。很多台灣企業只顧著賺錢,而罔顧建置資安設備,維護資安對他們來說,就是成本的額外支出。」立委高虹安指出,自去年新冠疫情爆發後,線上購物、宅經濟、雲端等服務倍增,卻也讓駭客有了可乘之機,甚至有駭客組織提供「勒索軟體即服務」(RaaS)的攻擊服務,大肆招攬生意。2018年,台積電的新進機台中藏有WannaCry勒索軟體(圖),導致3大廠區停擺,損失52億元。(圖/讀者提供)高虹安呼籲,行政院既然在去年底已成立「資安國家隊」,就應該盡速針對勒索軟體氾濫的問題,提出解決方案,如果不快點動起來,勢必嚴重影響高科技產業的發展,駭客攻擊除了會損害企業商譽而失去訂單,也會造成股價波動,影響民生經濟。
QNAP裝置成肉票4/獲報後即時攔截 威聯通:將持續積極處理
針對駭客事件,威聯通產品資安黃姓經理表示,接獲如梭世代通報後,4月16日就進行最新版正;Qlocker主要是針對尚未更新最新版HBS的用戶進行攻擊。他強調,威聯通接獲第一起Qlocker入侵通報時,就透過一些功能,讓還沒更新最新版HBS的用戶,避免遭受攻擊;即使用戶已被入侵,也會攔截解密代碼,協助用戶解密檔案。「未來我們會持續推出相關資安工具,並考慮強制加入更新,目前也積極與專門破解勒索加密軟體的國外人士合作,希望盡速替檔案全都被加密的用戶進行解密。」黃姓經理同時呼籲,用戶千萬不要支付贖金,以免助長駭客氣焰。刑事局科技犯罪防制中心主任林建隆表示,台灣的資安公司與技術人員深具實力,屢屢發現重大資安漏洞,「這次如梭世代主動將找到的重大漏洞,回報給廠商團隊,非常值得鼓勵,否則波及的設備及勒索金額,恐怕會遠遠超過目前的情況。」321備份原則 防駭客對於駭客而言,沒有不能入侵的OS(Operating System,作業系統),也不存在完全沒有漏洞的軟體,因此對使用者而言,平常須做好備援動作,許多資安專家都建議採取「321備份原則」。「321備份原則」就是要有3個備份,其中2個是不同儲存方式的「本地備份」,例如存在NAS、雲端或電腦硬碟;另外一個則採用「異地備份」,例如透過外接式硬碟存取資料。此舉可以避免駭客以單一手法,入侵所有備份檔,如此就能保存重要檔案。
台企淪肥羊2/你找漏洞他勒贖 駭客分組夾殺展開「世上最瘋狂攻擊組織」
市值1.66兆元的鴻海、筆電代工一哥廣達、筆電大廠宏碁、全球最大半導體封測廠日月光等電子大廠,半年來陸續遭駭客組織REvil入侵、勒贖近45億元台幣。資安人員判斷,REvil旗下應該主要有兩組駭客團體共同合作,鎖定廠商後再分組夾殺,REvil攻擊廣達的行動,竟自詡是「有史以來最瘋狂的攻擊」,囂張程度令檢調及資安人員咬牙切齒。資安人員指出,REvil攻擊廣達時,先由一組駭客團隊負責找出資安漏洞,並且釋放 REvil 勒索軟體,另一組駭客團隊在開啟惡意軟體後,順便「拿貨」和進行後續勒索。這次攻擊廣達後,REvil 駭客發言人還以「UNKN」為名,在駭客論壇上宣稱這是一場「有史以來最瘋狂的攻擊」行動,自我標榜無堅不摧、無孔不入。廣達電子傳出遭REvil駭入偷走蘋果電腦設計圖,且圖片還放上網公開,引發譁然。(圖/翻攝自網路)過去REvil利用勒索軟體,也對宏碁等公司進行駭客攻擊,但REvil上月攻擊廣達的行動時間,剛好遇上蘋果新品發表會,外界認為很有可能是一場精心策劃的活動。廣達拒絕支付任何贖款,強調交由外部IT資安共同合作進行修補與防護。REvil組織過去接受俄羅斯一個YouTube頻道訪問時表示,集團成員透過勒索軟件,年均收入可超過一億美元。雖然不知是否膨風,但從他們近兩年來層出不窮的駭客任務來看,證明苦主確實不少。檢調機關正深入追查,為何REvil一再鎖定台灣電子業攻擊,是否有內賊替REvil助攻,檢調考慮透過國際司法互助方式,進行跨國合作,希望盡快遏止REvil的瘋狂攻擊。REvil組織過去接受俄羅斯一個YouTube頻道訪問時表示,集團成員年均收入可超過一億美元。(圖/翻攝自網路)
全球超過10億下載APP 遭爆重大資安漏洞
在Google Play商店中累計超過10億次下載茄子快傳(SHAREit),主打可以跨平台傳輸檔案,但遭資安公司趨勢科技披露,應用程式內有許多重大漏洞,可能會被駭客竊取個資,甚至可以任意執行手機內所有的APP。資安公司趨勢科技日前在官方部落格發佈報告指出,熱門APP「SHAREit(茄子快傳)」有許多嚴重資安漏洞,除了會使用戶個資外露也能利用惡意代碼在手機內執行任意程式。趨勢科技指出,在發現漏洞後已向開發商Smart Media4U Technology通報,但3個月內都沒有任何回應,為了示警用戶才在近期發布研究報告,同時通報Google。而Smart Media4U Technology一直到19日才推送版本更新訊息,同時表示已經修補趨勢科技發現的漏洞,呼籲用戶盡快進行版本更新。
史上頭一遭!台灣大9萬支手機 出廠前遭駭成「詐騙共犯」
電信史上頭一遭,台灣大哥大自有品牌的AMAZING A32白牌手機,有特定版本遭植入惡意程式,詐騙集團利用該門號申請遊戲帳號、騙遊戲點數,不知情的用戶竟成詐騙共犯。該手機累計售出逾9萬支,還有7600人使用中,台灣大即起全面召回更新軟體,並提供購機補償與帳單減免。刑事局已報請檢方偵辦此案。手機遭植入惡意程式詐騙流程圖國內銷售的白牌手機,多由大陸廠商設計製造,並以台灣品牌對外銷售。NCC副主委翁柏宗昨代表NCC致歉,因為「無法全面確保民眾資通安全」,將依《消保法》與《電信管理法》要求業者召回該款手機,如無法履行,會按照《電信管理法》處10萬到100萬元罰金。資安漏洞 NCC致歉NCC並宣布兩大措施,一是電信業者自有品牌手機在大陸製造者,須符合資安標準才可販售;二是大陸品牌手機、電信業者自有品牌陸製手機,將納入年度抽測項目,不符者應儘速改善。警政署去年7月接獲2名長者陳情,指莫名遭檢警依詐欺罪傳喚。刑事局清查發現,全台共48人有相同狀況,經數位鑑識,確認都使用A32手機,且全是出廠前就已暗藏惡意程式,根本無法察覺,研判有更多人受害。業者召回 升級軟體A32手機由台灣大授權國內「力平國際公司」負責設計、生產,力平再委託大陸廠商華瓏公司代工,共出貨9萬多隻來台,懷疑是大陸工程師在製程時將惡意程式植入韌體,或誤用含惡意程式的模組;詐團雲端操控,讓持有者成詐騙人頭戶。這是NCC自2017年推動手機資安認證以來,首次爆發大規模資安漏洞,各界高度重視。NCC表示,接獲警方情資後,已主動檢測其他白牌手機,並無類似狀況,也隨即要求台灣大立即清查並全責善後。台灣大表示,接獲通知後針對A32手機軟體檢測,發現有資安疑慮後,立即主動封鎖海外7個惡意IP,即起全面召回該款手機升級軟體,最新V2.0版已通過國家實驗室檢測,符合第一級資安要求。台灣大解釋,該手機是2018年為鼓勵用戶由3G轉4G,推出的低價機款,原價僅1990元,但去年5G開台後就全面下架。明(8)日起可持該手機到門市回收,並提供1000元購機折抵,及減免帳單1000元。