台湾资安应超前部署 专家:高科技人才资料库成骇客目标
2020-10-09
【看中国记者卢乙欣综合报导】中秋连假期间,疑似有人力银行遭到骇客侵入,导致求职者个资遭到盗卖,安侯建业联合会计师事务所(以下简称:KPMG台湾所)资安专家说,求职资料含金量颇高,特别是正值科技战期间,台湾高科技人才的资料库更成为垂涎目标。

据报导,治安单位正在追查案件时,赫然发现大陆骇客疑似在中秋节前夕入侵人力银行,盗走高达592万多笔个资,并且被张贴至大陆暗网交易论坛上出售。

对于此案件,KPMG台湾所分析,虽然实情仍待调查,但自近年来的案例分析,每逢台湾的连续假期或是台风假,对于骇客集团而言都是“好日子”,因为资讯人员与系统维护厂商人力配置较少,对于各种网络事件疏于监控,若一旦发现有入侵的迹象,求援不易,回应不及。

对此,KPMG数位科技安全服务负责人谢昀泽表示,骇客眼中,求职的资料含金量颇高,因包括通联资讯等当事人的完整个资,容易成为诈骗集团或行销资料盗卖集团狙击的首要标的;尤其是在美中贸易战、科技战期间,台湾的高科技人才资料库,更加可能成为全球垂涎的目标。

针对骇客侵入,KPMG数位科技安全服务经理林轩宇分析,企业网络遭到侵入的常见原因包括了Web系统设计缺陷、网路防御机制漏洞、委外厂商留下的漏洞或后门、系统管理者的帐号遭夺权等问题,故提醒拥有大量个资的网络服务业,应该在假期来到前,针对上述各项的资安热点进行超前部署。

林轩宇建议,企业平时对于网络上的相关情资,例如针对公司的资安漏洞、客户档案外泄的讨论等,应该即时且有系统性的搜集、观测及分析;情资监控范围,则应该尽可能地涵盖企业上下游供应链及生态链相关公司,如此才能够即早发现问题,例如发现个资外泄,应该尽速依个资法主动通知当事人,以降低事故造成的冲击。

林轩宇认为,相较于人力银行业者,大多数的公司在以往针对人事资料的保护更嫌不足,如果人事招募采取外包的公司,应该定期评估企业本身及合作厂商的个资与资安管理能力,甚至是针对委外厂商来定期进行资安评估或是实地稽核。

针对曾在人力银行登入履历的求职者,KPMG台湾所提醒,近期应该要提高警觉,注意是否有相关诈骗集团应用外泄的资料,以电邮、电话、社群媒体进行诈骗,如有需要可以进一步向165反诈骗专线求助;至于在非求职期间者,则可以考虑要求人力银行业者把求职个资依法予以删除,借此降低自身个资遭到泄漏风险。

据报导,台湾传出史上最严重资安外泄事件。有知名网路人力银行电脑系统,遭中国骇客入侵,高达592万4397笔详细人身资讯,被骇客利用暗网专属帐号“rootkit”,张贴至俗称“黑暗网站(Dark web)”的中方“暗网交易论坛”交易市场上,骇客还表明将以500或1000美元(约1.45万至2.9万台币)价格对外标售。在这高达的592万笔的外泄个资中,详细编列著台湾求职者的个人档案编号、身份证号、姓名、出生年月、性别、电子邮箱、家庭住址、手机号码、座机区号、座机号码、标识ID,一切资讯巨细靡遗。

遭到骇入的人力银行业者“104人力银行”于4日晚间发表声明证实遭到骇客入侵,并称骇客公开的35笔资料均为2013年的旧资料,目前仍在详查被盗的个资笔数,已主动向调查局报案。

无独有偶的是,“人力银行1111”本月5日也被PTT网友爆料,现有335万笔详细、非常新的求职者资料被放在暗网上求售,这些资料包括身份证字号、姓名、性别、电话、手机、邮箱、住址、个人简历、毕业学校、专业、身高、体重,且一件售价高达1000美元。
    来源: 看中国 责编: Kitt

    上一篇: 党魁和进化论  让我看清真相

    下一篇: 监控升级 黄之锋:负重前行