[新聞] 《獨家》司法院似遭駭客入侵 ，內網密

1.媒體來源: 民報 2.記者署名: 廖珪如／台北報導 3.完整新聞標題: 《獨家》司法院似遭駭客入侵 ，內網密碼、判決書被公開！ 4.完整新聞內文: 《民報》日前接獲白帽駭客傳來相關資料顯示，司法院網站資料庫遭到駭客入侵，包括查看 判決書相關帳號密碼、判決書內容，還有系統原始資料，都被公布在社群軟體Telegram群組 ，任人下載。司法院表示，內網安全無虞，但對於被公布在社群軟體上的資料如何處理？有 沒有請求數位發展部支援？司法院都回答「資安無虞」。 駭客取得司法院內網權限 有修改密碼權利 從《民報》收到的資料看來，這份被公布在Telegram群組的內容，是駭客於今年4月3日晚間 11時03分透過SQL注入式攻擊 (SQL injection)，運用網站、應用程式與資料庫之間的安全 漏洞，用擾亂資料庫判讀系統的邏輯，讓司法院內部資料全部被下載出來。駭客在群組中， 宣布自己已經取得司法院內部資料庫最高管理員權限，所有被司法院授權認證包括內部人員 、一般民眾查詢判決書的帳號、密碼、各地法院電話、地址等，皆掌握在他手上，有興趣者 可以詢問他。 熟知這套程式語言的工程師指出，連內網密碼都寫入，再加上這份資料庫系統寫的時候並未 加密編譯，所以資料全都掌握在駭客手裡。他如果有心，大可以任意竄改這些司法院資料。 例如調皮地更改各地法院地址、內網管理系統員的密碼、還有各地法院、法扶聯繫電話。他 說，司法院要慶幸的是，這個人「現在沒有」這樣做，但是「他可以」做得到。 除了網站未加密編譯的風險，《民報》從我國戶籍資料被放在網路上販售以來，一路追蹤資 安問題帶來個資洩漏的議題，同樣地也在這包資料中浮出檯面，除了司法院員工自己可以快 點修改密碼。但是，例如，民眾註冊的帳密被取得了，那司法院是否應該通報民眾更換帳戶 密碼？ 判決書不經查詢就公開 是否屬個資外洩 再者，把這份被公開的資料往下拉原本需要民眾註冊、登入帳號密碼方可查詢的判決書，在 這包資料當中就可一覽無遺，即便司法院早已更動公開判決書的個資隱私，是不會揭露身分 證字號等細節，對於家事法庭的判決，未成年者更會匿名處理。但是，原本有需要查詢時， 假設有民眾查詢「王小明」，司法院會出現所有叫「王小明」的司法糾紛判決書，要由相關 當事人判讀自己是要查詢哪一筆。 但是在此份資料中，無差別地被公開了，其中最多個資被洩漏的，應該是各地民眾遺產糾紛 及繼承的土地資料等、家事法庭中夫妻爭吵扶養權利及贍養費等，當這些資料無差別被公開 時，我們要再度主張政府單位需要因資安漏洞引發的個資外洩依照《個人資料保護法》第12 條通報嗎？ 這份資料，原本在10月3日白帽駭客就透過管道傳達給司法院，靜待司法院修補網站弱點後 《民報》再進行報導；然而，《民報》7日致電司法院，得到回應「還在瞭解狀況」。8日， 司法院坦承，他們不清楚出現什麼問題，《民報》提供部分外洩資料截圖給司法院，10月9 日下午回覆《民報》「資安無虞」。記者進一步詢問，由於駭客是一次性攻擊，是否有確認 過弱點修復？司法院對此解釋，已查核「資安無虞」。 政府部門資安意識不足 應主動通報數發部 《民報》也再度詢問司法院要如何處理外流在社群軟體上的一包資料？是否有將此問題通報 數位發展部請求協助？司法院回應資安沒有問題。 對於司法院的回答，資安界人士指出，如果司法院沒有說明具體修補哪些網站弱點，也沒有 要對被公布在社群上的資料向數位部通報並請求支援，顯示政府機關對資安太掉以輕心，有 可能並沒有真正修復遭攻擊弱點，或是司法院不願意透露太多細節給媒體。 熟知這套程式語言的工程師重申，這份資料已經揭露，這名駭客用什麼方式取得最高管理員 權限，如果司法院沒有比較大動作處理，包含資料庫寫程式時加密編譯，那就有可能再被入 侵；若是真的有惡意人士買下這份資料，循路徑登入，可以改掉很多司法院資料，甚至在司 法院官網放圖案都可以。 事實上，從去年以來，《民報》掌握2300萬筆戶籍資料遭上網販售、財政部雲端發票密碼漏 洞等等，多半是政府單位資安意識不足所致。雖然資安署今年有安全稽核計畫，定時巡查各 機關資安，但當數位發展部巡查過後，行政機關發現漏洞是否該主動通報，也成了一門課題 。資安工程師建議說，司法院這份遭駭客入侵，內網密碼、判決書都被公開的資料，就是部 會間建立資安溝通的最好時機。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://reurl.cc/a4br49 6.備註: 沒事沒事，有數位部，我們政府資安無虞，相信政府，相信黨!!! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.144.142 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1699874269.A.618.html