《獨家》司法院似遭駭客入侵 ,內網密碼、判決書被公開!
2023/11/15 16:55
《民報》日前接獲白帽駭客傳來相關資料顯示,司法院網站資料庫遭到駭客入侵,包括查看判決書相關帳號密碼、判決書內容,還有系統原始資料,都被公布在社群軟體Telegram群組,任人下載。司法院表示,內網安全無虞,但對於被公布在社群軟體上的資料如何處理?有沒有請求數位發展部支援?司法院都回答「資安無虞」。
本報取得資料中,可以看出駭客是如何破解司法院網站,手法經本報隱匿。圖/讀者提供
駭客取得司法院內網權限 有修改密碼權利
從《民報》收到的資料看來,這份被公布在Telegram群組的內容,是駭客於今年4月3日晚間11時03分透過SQL注入式攻擊 (SQL injection),運用網站、應用程式與資料庫之間的安全漏洞,用擾亂資料庫判讀系統的邏輯,讓司法院內部資料全部被下載出來。駭客在群組中,宣布自己已經取得司法院內部資料庫最高管理員權限,所有被司法院授權認證包括內部人員、一般民眾查詢判決書的帳號、密碼、各地法院電話、地址等,皆掌握在他手上,有興趣者可以詢問他。
熟知這套程式語言的工程師指出,連內網密碼都寫入,再加上這份資料庫系統寫的時候並未加密編譯,所以資料全都掌握在駭客手裡。他如果有心,大可以任意竄改這些司法院資料。例如調皮地更改各地法院地址、內網管理系統員的密碼、還有各地法院、法扶聯繫電話。他說,司法院要慶幸的是,這個人「現在沒有」這樣做,但是「他可以」做得到。
除了網站未加密編譯的風險,《民報》從我國戶籍資料被放在網路上販售以來,一路追蹤資安問題帶來個資洩漏的議題,同樣地也在這包資料中浮出檯面,除了司法院員工自己可以快點修改密碼。但是,例如,民眾註冊的帳密被取得了,那司法院是否應該通報民眾更換帳戶密碼?
判決書不經查詢就公開 是否屬個資外洩
再者,把這份被公開的資料往下拉原本需要民眾註冊、登入帳號密碼方可查詢的判決書,在這包資料當中就可一覽無遺,即便司法院早已更動公開判決書的個資隱私,是不會揭露身分證字號等細節,對於家事法庭的判決,未成年者更會匿名處理。但是,原本有需要查詢時,假設有民眾查詢「王小明」,司法院會出現所有叫「王小明」的司法糾紛判決書,要由相關當事人判讀自己是要查詢哪一筆。
但是在此份資料中,無差別地被公開了,其中最多個資被洩漏的,應該是各地民眾遺產糾紛及繼承的土地資料等、家事法庭中夫妻爭吵扶養權利及贍養費等,當這些資料無差別被公開時,我們要再度主張政府單位需要因資安漏洞引發的個資外洩依照《個人資料保護法》第12條通報嗎?
這份資料,原本在10月3日白帽駭客就透過管道傳達給司法院,靜待司法院修補網站弱點後《民報》再進行報導;然而,《民報》7日致電司法院,得到回應「還在瞭解狀況」。8日,司法院坦承,他們不清楚出現什麼問題,《民報》提供部分外洩資料截圖給司法院,10月9日下午回覆《民報》「資安無虞」。記者進一步詢問,由於駭客是一次性攻擊,是否有確認過弱點修復?司法院對此解釋,已查核「資安無虞」。
政府部門資安意識不足 應主動通報數發部
《民報》也再度詢問司法院要如何處理外流在社群軟體上的一包資料?是否有將此問題通報數位發展部請求協助?司法院回應資安沒有問題。
對於司法院的回答,資安界人士指出,如果司法院沒有說明具體修補哪些網站弱點,也沒有要對被公布在社群上的資料向數位部通報並請求支援,顯示政府機關對資安太掉以輕心,有可能並沒有真正修復遭攻擊弱點,或是司法院不願意透露太多細節給媒體。
熟知這套程式語言的工程師重申,這份資料已經揭露,這名駭客用什麼方式取得最高管理員權限,如果司法院沒有比較大動作處理,包含資料庫寫程式時加密編譯,那就有可能再被入侵;若是真的有惡意人士買下這份資料,循路徑登入,可以改掉很多司法院資料,甚至在司法院官網放圖案都可以。
事實上,從去年以來,《民報》掌握2300萬筆戶籍資料遭上網販售、財政部雲端發票密碼漏洞等等,多半是政府單位資安意識不足所致。雖然資安署今年有安全稽核計畫,定時巡查各機關資安,但當數位發展部巡查過後,行政機關發現漏洞是否該主動通報,也成了一門課題。資安工程師建議說,司法院這份遭駭客入侵,內網密碼、判決書都被公開的資料,就是部會間建立資安溝通的最好時機。
被公開在社群通訊軟體的內容。圖/讀者提供
