離開
進入外交部員工電郵密碼 Google全都露
約兩千筆資料外洩 部長也在列
〔記者王珮華、許紹軒、魏怡嘉/台北報導〕政府機構資安出現嚴重漏洞,網友爆料,外交部員工約兩千筆電子郵件的姓名、帳號與預設密碼,竟然可以透過Google搜尋到,連外交部長楊進添、前部長歐鴻鍊的帳號與預設密碼也全都露,資安專家認為,若資料落入有心人士手中,恐將嚴重威脅國家安全。
外交部︰廠商洩舊資料 將究責
對此,外交部新聞文化司副司長章計平表示,先前接獲相關訊息,前天已緊急徹查外交部資訊系統的防火牆等狀況,確認並未遭到入侵,而是外交部伺服器維護廠商把五年前的資料放在公司網站上,已違反雙方合約相關規定,外交部已通知該公司立即刪除網站上的相關資料,並要求提出書面報告,也將依違反保密契約條款追究廠商責任。
網友透過網路爆料,在搜尋友人email的過程中,意外從Google搜尋到一份外交部員工的內部電子郵件姓名帳號、密碼,從密碼形態看來,狀似開設帳號之初,系統給予的「預設密碼」。被Google找出來的網址為FTP站,從網址內的檔案夾名稱「MOFA」來看,可推測出這份資料就是外交部員工電子郵件,而外交部電子郵件入口,竟也未限制外人連結,若使用者未更改預設密碼,則外交機密恐將一覽無遺。
網友批未變更密碼 缺乏資安常識
網友更爆料,在二千多筆帳號密碼中,不乏有未曾修改密碼者,截至週四晚間為止,部分帳戶仍可有效登入,顯示少數官員欠缺資訊安全常識。不過,包括外交部長楊進添、前部長歐鴻鍊等人的帳號無法登入,顯示這些重要官員已經變更密碼;至於,部分可登入的帳號,很可能其本人已離職,所以才沒有更新密碼,仍留用預設密碼。
網友大嘆,政府花這麼多資訊預算,竟然連公務員的帳號密碼都可以被Google搜尋到,難怪政府機關的官網常被駭,花大錢搞資訊安全根本白搭,乾脆把網路線拔掉比較快。
擔任多家企業網路技術顧問的洪進吉指出,Google會爬出FTP文件,一定是之前有人將該FTP站的網址公布在網路上,且允許使用者匿名登入。從良善的一面來推測,可能是電子郵件外包商或外交部資訊部門,為了工作方便,將文件放在匿名登入的FTP站,傳給其他工作夥伴來使用;更有甚者,外交部資訊系統可能早被駭客入侵,才會有資料流出。
台北榮總五千多個帳號 也被外洩
此外,同一電子郵寄委外廠商的FTP站,也列出台北榮總約五千多個電子郵件帳號,不過由於該文件只列出電子郵件,沒有真實姓名對照與密碼。趨勢科技資深技術顧問簡勝財指出,即使只有電子郵件被揭露,有心人士也能以社交工程手法,假借主管或同事的email,透過寄送病毒信,將特定單位的電腦植入木馬,對資安衝擊不能說不大,政府單位資訊安全意識要更加強。
根據外交部九十九年度預算,資訊服務費加上資訊軟硬體設備費用,共計編列一.一三億元,而九十八年度同樣編列上億元資訊預算,結果卻搞出全體員工電子郵件外洩的烏龍,預算到底花到哪裡去?
章計平強調,外洩的資訊是五年前電子郵件帳號剛開始時的預設七位數密碼,現在早已改成八位數以上密碼,而且當初就規定職員在三個月內如不將預設密碼更新成自己的密碼,電子郵件帳號將自動失效,因此沒有洩密問題。
據了解,這家廠商名為新寶網通公司,目前仍在執行外交部伺服器維護作業,當外交部電腦系統有狀況時,只要通知該公司,就會派員處理。
針對北榮電子郵件帳號也外洩一事,北榮表示,經查,一家承包北榮有關電子郵件相關設備採購案廠商,建置過程接觸到北榮員工的電子郵件帳號,未經北榮同意,就將電子郵件帳號存放至該公司網站設備上,以致發生電子郵件帳號外洩情事,北榮將追究廠商相關責任。
