戶政系統遭駭3》2千多萬筆台灣人戶籍網路販售ing ,OKE疑似犯罪集團!
2022/11/07 07:00
・
2022/12/04 21:24
民報獨家報導20萬筆宜蘭縣民戶籍在網路論壇供民眾查閱後,提供多筆戶籍給《民報》的化名為「8」的爆料人掌握,其實OKE販售的資料共有 23,572,055筆不重覆的身分證字號,幾乎就是我國國民總人口數。商務資安經驗者分析,OKE這個ID很可能不是一個個人,而是一個犯罪集團,也賣印尼銀行等客户資料。現在的台灣部會雖有反應,只能說「政府或許沒有說謊,只是甩鍋」!
10月28日清晨,《民報》取得資安研究者獨家資料,指「BreachedForums」論壇一名ID名為:OKE的網友,在論壇兜售台灣人民戶政及軍籍資料,並釋放出20萬筆宜蘭縣民戶籍供民眾查閱。《民報》報導後,內政部10月29日聲明指,資料格式與內政部戶政資料差異大,非內政部戶政資料遭駭;數位部經初步比對,說法與內政部相同,且強調對此事已有掌握。目前,調查局、數位部資安署也密切與內政部配合,處理資安防護事宜。
相關機關也向《民報》說明,經初步比對,該份宜蘭資料和2020年暗網「Toogod」流出的應該是同一筆,只是從各大私人企業資料庫流出拼湊,並非真正戶籍資料。不過,官方說法,資安領域人員並不買單,且對這一星期以來的政府態度感到失望。資安界人士稱,依照《個資法》規定,個人資料被竊取、洩漏、公務機關應查明後通知當事人,但現在政府的態度顯然「很不負責任」,起碼被公開資料的20萬宜蘭縣民都未被通知,更讓人焦慮的是,這筆資料若流入中共手上,後果更是難以想像。
個資市場樣樣有 戶籍資料曝光難收拾
提供多筆戶籍給《民報》的「8」也抨擊內政部和數位部,他指出,2020年「Toogod」流出的資料格式本身約有姓名、電話、身分證字號、年齡或出生日期、性別、部分有工作單位與職稱,重新排序去掉除重複之後,當年外流資料約有800萬筆身分證字號,1100萬筆電話(包括市話或手機),也就是說那筆舊資料,確實有可能從一般民眾消費單位流出拼湊。
而2022年被放到「BreachedForums」論壇販售的資料,絕對與2020年被放出的資料大不相同,據「8」掌握,OKE販售的資料共有 23,572,055筆不重覆的身分證字號,幾乎就是我國國民總人口數,流出時間為2018年,與政府宣稱在當年戶籍資料介接時流出相符,只是流出全國人口資料,相當荒唐,且其中還有2019年1月的資料。雖然有人主張說,那駭客也僅有2018年資料而已,距今也已經4年,但「8」反問?戶籍異動會有多大?上面的資料會更新多少呢?
「8」指出,他不熟悉戶政格式,希望《民報》接續追查,拼湊真相。本報也找到熟悉我國戶籍資料的人,他在看過OKE向大眾公開的資料欄目後表示,確實有4欄並非我國戶籍格式。戶政人員說,一般來說企業蒐集人民個資多是地址、電話、出生年月日等,因此有人販售那些資料不足為奇;但其中有縣市代碼、戶號、原住民身份(是否有原民身份)、稱謂代號、縣市到鄰的代碼、遷入時間、出生地、兵役別、家庭狀況代號(若獨居則代號為3)、原族註記(泰雅族、阿美族等);戶政人員說,這絕對是台灣戶政系統才會有的資料。
資安即國安 2千萬台灣人個資外流誰負責?
為避免資安界僅「8」做代表,《民報》也求證美商資安工程師,他從商務資安經驗分析,「政府或許沒有說謊,只是甩鍋」;確實這份資料有可能不是內政部戶政司流出的,政府對外也說應該是2018年介接資料時不小心外洩,但究竟是哪個環節外洩?因為會用到戶政資料的不只內政部,還有健保署等,到底哪個環節出錯?又或是有內鬼?政府是否該給國民交代,而非推託說,此格式不符,不是內政部資料流出。
「格式不符,但資料都對」這不是很可怕嗎?資安工程師說,「BreachedForums」論壇就是販賣個資的地方,論壇網域在美國,因此台灣政府無法直接停掉此網域很正常,OKE這個ID很可能不是一個個人,而是一個犯罪集團,他也賣印尼銀行等客戶個資。他指出,資安外洩最可怕的就是資料串接,例如企業或商店可能會有一般民眾居住地和聯絡電話,戶籍地則有家人資訊,如果政府不從嚴查核,那全國人民會暴露在無止盡的詐欺風險下,當資料太詳盡,大家上當機率就更高。
此外,無論是「8」、戶政人員、或美商資安工程師,他們都期待政府應該要「誠實」對國民說明資料外洩的緣由及調查進度,給國人安心。尤其總統蔡英文曾說「資安即是國安」,如今國安出現大漏洞,政府高層更不該迴避責任。《民報》也致電有關當局,他們指出,現由調查局在逐一比對資料是從何處外洩,若真的是國家洩漏,那麼相關部會就會動起來。
