台灣某研究型大學被駭取六萬筆影像個資一案

台灣的調查局 #MJIB 和美國 @FBI  號稱「聯手」破大案是沒錯,不過六萬名「受害者」含冤未雪也不知道是誰。

是美國司法部聯邦調查局所公開起訴報告說的:

受害者來自不少國家,當然也包含了台灣的能源公司(應該是中油)。但起訴書提到一所台灣的研究型大學也是受害者之列,這點倒是沒有什麼進一步的討論。

https://www.justice.gov/opa/press-release/file/1317206/download
https://www.justice.gov/opa/press-release/file/1317206/download

研究型的大學在台灣並不多,能有「六萬多名」更是屈指可數。這件事可以給我們一些對於台灣「非傳統安全」現況有著比較貼近事實的討論:

  • 教育機構應該是最軟最好攻擊的目標之一,因為大學在資訊安全防護的投資和落實,在全校的重要資訊系統(如人事、薪酬等)部分,可能一直是低度安全投資的狀態。
  • 研究型大學更是具有高價值的目標,尤其是在科研人力背景的長期搜集部分。
  • 起訴書內說有個人影像,在台灣而言,這些可能是教職員和學生去相館照相後,所取得的高解析影像,再透過線上和線下途徑,繳回相關管理單位。由於這些照片是人事檔所必備的資料,正面高解析的影像,對於情資搜集的「助益」極大,可補足從社交媒體不容易蒐集到的「正規」、「乾淨」影像的「不足」。
  • 台灣政務體系特有的學界和政界直接相通的人事管道:很多政務官退下來就去教書,教書教到一半又去當官。要透過公部門資料庫搜集這些人事資料,或許風險比較大。但從學校系統來搜集,就減少了這項「疑慮」。
  • 學校各系所的電子郵件系統大概是最常被駭侵之標的,但如果要建立完整的「人名錄」,還是要從這種全校的人事系統去拿資料比較「方便」。而且針對年輕人的資料,長期蒐集,以後會派的上「用場」。

當然,相較於台灣,美國司法部這種跨國網路駭侵犯罪的起訴內文,細節清楚很多,但更細緻的受害細節從公開管道還是看不到,因此以上只是推估。台灣政府沒有專責的個資機關,網路緊急應變中心和司法單位針對此案公開發言希望可以期待。破案歸破案,但大學的「受害者」是?

我們目前可以確定的是:

  1. 在台灣網路犯罪的追查,如果是集團跨境所為,常常還是需要美國政府「協助」揭露。
  2. 對台灣的民眾而言(此案有很多,這裡只講大專院校教職員和學生),這種駭侵不會有救濟管道,連是不是受害者也不會有機會知道,更別說學校在個人資料的保護政策了。這點體認最好提早持有,對於了解台灣非傳統安全防護的現況(如資訊安全、資料安全等),會有「量子式」的躍進。

以上簡述。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.