專家說,在美中貿易戰、科技戰期間,臺灣的高科技人才資料庫,更加可能成為全球駭客垂涎的目標。(圖片來源:Adobe Stock)
【看中國2020年10月5日訊】(看中國記者盧乙欣綜合報導)中秋連假期間,疑似有人力銀行遭到駭客侵入,導致求職者個資遭到盜賣,安侯建業(KPMG臺灣所)資安專家說,對駭客而言,求職資料含金量頗高,特別是正值科技戰期間,臺灣高科技人才的資料庫更成為垂涎目標。
相關新聞報導如下:
10個政府單位被中國駭客組織攻擊 臺灣調查局偵辦
談及網路攻擊戰 學者:很多國家都不宣告直接打
賴清德:中國駭客每月3千萬次攻擊臺灣
中國籍駭客涉網攻中油 臺美合作偵破
人力銀行592萬筆個資外洩 陸駭客暗網出售恐影響國安
自由時報日前報導,治安單位正在追查案件時,赫然發現中國駭客疑似在中秋節前夕入侵國內人力銀行,盜走高達592萬多筆個資,且被張貼至中國暗網交易論壇上出售;遭到駭入的人力銀行業者4日澄清,目前從駭客公開的35筆資料判斷,均為2013年舊資料,目前仍在詳細地清查被盜的個資筆數,且已主動向調查局報案。
針對此案,安侯建業聯合會計師事務所(KPMG臺灣所)說,雖然案件實情仍待調查,但自近年來的案例分析,每逢臺灣的連續假期或是颱風假,對於駭客集團而言都是「好日子」,因為資訊人員與系統維護廠商人力配置較少,對於各種網絡事件疏於監控,若一旦發現有入侵的跡象,求援不易,回應不及。
對此,KPMG數位科技安全服務負責人謝昀澤表示,在駭客眼中,求職的資料含金量頗高,因包括通聯資訊等當事人的完整個資,容易成為詐騙集團或行銷資料盜賣集團狙擊的首要標的;尤其是在美中貿易戰、科技戰期間,臺灣的高科技人才資料庫,更加可能成為全球垂涎的目標。
針對駭客侵入,KPMG數位科技安全服務經理林軒宇則分析,企業網絡遭到侵入的常見原因包括了Web系統設計缺陷、網路防禦機制漏洞、委外廠商留下的漏洞或後門、系統管理者的帳號遭奪權等問題,故提醒擁有大量個資的網絡服務業,應該在假期來到前,針對上述各項的資安熱點進行超前部署。
林軒宇建議,企業平時對於網絡上的相關情資,例如針對公司的資安漏洞、客戶檔案外洩的討論等,應該即時且有系統性的蒐集、觀測及分析;情資監控範圍,則應該盡可能地涵蓋企業上下游供應鏈及生態鏈相關公司,如此才能夠即早發現問題,例如發現個資外洩,應該盡速依個資法主動通知當事人,以降低事故造成的衝擊。
林軒宇認為,相較於人力銀行業者,大多數的公司在以往針對人事資料的保護更嫌不足,如果人事招募採取外包的公司,應該定期評估企業本身及合作廠商的個資與資安管理能力,甚至是針對委外廠商來定期進行資安評估或是實地稽核。
針對曾在人力銀行登入履歷的求職者,KPMG臺灣所提醒,近期應該要提高警覺,注意是否有相關詐騙集團應用外洩的資料,以電郵、電話、社群媒體進行詐騙,如有需要可以進一步向165反詐騙專線求助;至於在非求職期間者,則可以考慮要求人力銀行業者把求職個資依法予以刪除,藉此降低自身個資遭到洩漏風險。
自由時報報導,臺灣傳出史上最嚴重資安外洩事件。有知名網路人力銀行電腦系統,遭中國駭客入侵,高達592萬4397筆詳細人身資訊,被駭客利用暗網專屬帳號「rootkit」,張貼至俗稱「黑暗網站(Dark web)」的中方「暗網交易論壇」交易市場上,駭客還表明將以500或1000美元(約1.45萬至2.9萬臺幣)價格對外標售。在這高達的592萬筆的外洩個資中,詳細編列著臺灣求職者的個人檔案編號、身份證號、姓名、出生年月、性别、電子郵箱、家庭住址、手機號碼、座機區號、座機號碼、標識ID,一切資訊鉅細靡遺。
數位時代報導,104人力銀行於4日晚間發表聲明證實遭到駭客入侵,並稱駭客公開的35筆資料均為2013年的舊資料,目前已經主動向調查局報案。
無獨有偶,人力銀行1111今天被PTT網友爆料,現有335萬筆詳細、非常新的求職者資料被放在暗網上求售,這些資料包括身份證字號、姓名、性別、電話、手機、郵箱、住址、個人簡歷、畢業學校、專業、身高、體重,且一件售價高達1000美元。
然而,這並非是1111首次遇駭,2019年也遭爆出20萬筆使用者資料被放在國外網站「突襲論壇」(RaidForums)上兜售,這些事件均顯示求職網站資安出現大破洞。
1111官方稍早發布聲明給會員,強調外洩檔案均為9年前的舊案,目前都已經全面提升資安的維護,為了保障企業及會員權益,已經向保險公司投保第三人責任險,而1111董事會也已撥出新臺幣2億元成立賠償基金,以確保會員權益。