離開
進入19歲駭客 入侵大考中心
〔記者黃敦硯、黃以敬、許敏溶╱台北報導〕曾於九十二年間入侵總統府網站並竄改網頁的知名高中蘇姓畢業生,涉嫌從九十年起扮演電腦駭客,陸續入侵國中基測與大學入學考試中心電腦系統,竊取逾一百萬筆考生的姓名、相片與成績等相關資料,再賣給補習班做為招生之用,蘇某事後相當後悔,更擔心資料會流入詐騙集團手中,主動向刑事警察局偵九隊自首。
現年十九歲的蘇姓男子到案後向警方表示,他入侵許多公私立機關的電腦系統,並拿走不少資料,但只將九十年國中基測、九十二與九十三年大考中心學測的考生資料,分三次賣給補習班,惟蘇某強調,他可以竄改考生的成績,但他只拿資料,沒有竄改。
精神狀況不佳 私大僅唸數月
警方透露,蘇姓男子的精神狀況不佳,去年自知名高中畢業後,推甄考上某私立大學,但他唸了幾個月後便辦休學。
警方調查,被蘇某拿走的資料包括,九十、九十一年國中基測考生資料與成績,九十一到九十四年大考中心考生資料、相片與成績,以及台北智慧卡公司的悠遊卡系統資料、新光三越百貨公司會員卡資料,飛鷹駭客網會員資料與其他電子郵件帳號密碼。
由於每年大學學測有超過十五萬考生報名、大學指考則有近十二萬人報考,國中基測報考人數更近三十萬,一旦電腦系統被破解入侵,影響層面相當大,且每次考完,部份考生與家長都會接到補習班的招生電話,更劈頭便說出考生的分數,使得外界有考生資料外洩的疑慮,刑事局偵九隊隊長李相臣遂要求該隊偵二組偵辦。
正當警方展開調查時,今年三月初,蘇某主動向警方自首,警方進而發現,他就是當年入侵總統府網站的高中生。因蘇某的精神狀況不穩定,警方花了很長的時間和他溝通,取得其信任,蘇才卸下心防,告訴警方他的入侵方法與取得的資料,他表示,自己是以SQLInjection方式入侵各大電腦系統,再植入「後門程式」,以拿走考生姓名、就讀學校、聯絡電話、家長姓名、准考證、考生相片、考試成績等資料。
警方調查,蘇某將考生資料以一次五萬元代價賣給一國中同學的補習班老師陳嘉旭,再由陳某交給胞兄陳啟旭,由陳啟旭以一次十五萬元代價賣給「建如補習班」、「國立文理補習班」的班主任吳堂煌,警方昨天前往南陽街搜索,當場搜出一批考生資料,吳某坦承購買資料,並用於招生作業,但否認再將資料轉賣出去。
成績僅被下載 經查未被竄改
建如補習班負責人劉廣衡昨天坦承,兩年前該補習班高中部吳主任確實曾向一位不願透露姓名的人士購買資料,但兜售者不願透露資料來源,他強調,絕未涉及電腦駭客竊取網站資料的違法事情。
此外,大學入學考試中心副主任李鍾元昨前往刑事局也表示,考生真正的原始分數都會製成光碟,再送到中正大學或成功大學分發,考生的成績不可能遭到竄改,蘇所拿到的資料應只是副本,而大考中心徹查後,考生成績並未遭竄改,初步確定只是考生資料及成績被違法入侵下載,將立即檢討電腦作業程序,提高防火牆防護功能;負責基測試務的台師大心測中心及教育部中教司也初步查證,應該沒有考生成績或分發錄取結果被竄改的情形。
悠遊卡也殃及 隱私資料未洩
〔記者鄭學庸、王珮華、卓怡君╱台北報導〕發行悠遊卡的台北智慧卡公司表示,九十二年時,內部工程師的確曾發現疑似有不明駭客入侵智慧卡公司網站,但這名駭客當時只侵入官方網頁,並未進入公司內部網頁,因此並未取得較機密或重要的內部資料,而持卡人的隱私資料也並未外洩,持卡人可以放心。
新光三越表示,目前尚未得到檢調等相關單位的通知,至於新光三越網站內僅有網站會員的簡單資料,新光三越卡友資料並非存在新光三越對外的網站中,未來仍會積極檢討網站防護措施,避免資料遭到竊取。
國內資訊安全業者精誠資訊表示,一般外部駭客入侵行為,都是藉由企業網站平台或軟體漏洞或弱點入侵,因此企業資訊人員應定期檢視網站系統與使用的軟體是否有已經公佈的漏洞,並在最快時間內安裝修補檔案。
教部專案小組 修補漏洞
〔記者黃以敬╱台北報導〕教育部指出,負責督導大學考試的高教司及主辦國中基測的中教司,將與電算中心組成專案小組,即日起針對各級招生考試電腦作業程序及安全性進行全面檢視,確保今年五月即將登場的國中基測,以及七月大學指定科目考試,均能提高電腦防護功能。
教育部指出,依據「個人資料保護法」,考生如果發現個人資料遭外洩,或是成績被竄改導致個人權益受損,可向大考中心或考試主辦單位提出損害賠償,以確保自身權益;亦即大學考試可向大考中心求償,至於國中基測,則可向主辦基測的教育部及負責電腦作業的資訊公司求償。
督導大學考試業務的高教司長陳德華指出,教育部已要求大考中心全面徹查網路保全機制,並進行成績比對,所幸並未有學生成績或分發結果遭竄改,學生就學權益還不會受到太大損傷。至於學生資料遭竊,由於涉及到電腦專業技術問題,電腦科技不斷進步,各級考試單位勢必面對防不勝防的技術侷限問題;陳德華指出,教育部各級考試主管司處,將與電算中心共同組成專案小組,這兩天陸續向大考中心及基測單位了解電腦程序及可能問題,希望能找出更好的電腦防護措施,確保各級考試資料安全性。
中教司司長陳益興說,昨天已緊急要求負責今年五月基測試務的台師大心測中心、小港高中及負責電腦作業的博暐電腦公司,必須立即提高電腦系統防護層級,最好是比照台師大心測中心題庫採用「不連線電腦處理」,所有成績傳送也不能透過可能被外界入侵的網路,絕對要確保今年五月國中基測不會再發生駭客入侵。
駭客教同學 8大學生被傳喚
〔記者黃敦硯╱台北報導〕刑事警察局偵九隊二組調查發現,蘇姓男子在就讀高中期間,便將入侵大考中心內部資料庫主機方式告訴十三名同學,警方已陸續傳喚八名現就讀台大等多所大學的學生到案說明,八人雖坦承知情,但否認入侵並竊取資料,警方將進一步清查有無其他共犯涉案。
據了解,在高中二年級時,蘇某入侵總統府網站一事,在班上已經廣為流傳,而他入侵大考中心電腦系統也在班上傳開,有一些同學會特別向他請教駭客手法。
由於蘇某的電腦功力實在太強,很多同學根本看不出來的電腦系統漏洞,蘇某一看就知道哪裡有漏洞,並知道可以用什麼方式入侵,漸漸成為同學請教的對象。
就連蘇某不少考取台大一流學系的電腦高材生,在大一修電腦安全課程時,拿一本書請蘇某說明,只見他稍加翻一翻,就可以開始為同學講解,同學對他的電腦功力不禁感到折服。
但是因為入侵大考中心的技術,蘇某已「傳授」給不少同學,刑事局偵九隊擔心會流傳開來,危及大考的公正性,近日來已陸續傳喚八名現已就讀大一的同學。
而他們供稱雖然知情,可是並未用蘇所教的方式入侵大考中心,惟因八人之中,有不少人現仍有兄弟姊妹或女友,近幾年也陸續考大學,警方將進一步查明。
另有五人因學校正在期中考,或是就讀南部學校而暫時不克前來,警方將再逐一傳喚釐清案情。
總統府網站 2年前被他竄改
記者黃敦硯╱特稿
九十年間,高中入學考試還沒放榜,當時十五歲的蘇姓男子卻已經入侵國中基測電腦系統「自行查榜」,得知自己考取的高中,而想要事先知道自己考取什麼學校,竟成為他入侵電腦系統的最原始動機,隔年,他以同樣手法,早一步查到弟弟考取的高中。
向警方自首的蘇某,緊張多日的心情終稍微緩和,但前一陣子他也因擔心自己上網後,會控制不住自己的行為,竟然將家中的電腦網路線剪斷,不敢再上網,經過刑事局偵九隊二組偵查員林建隆悉心溝通,蘇才逐漸恢復上網。
警方認為,蘇某本質相當單純,他只是為了肯定自己的電腦功力,才做出入侵大考中心電腦系統的行為,而他也對自己的行為感到良心不安,進而主動向警方自首,警方對他也感到相當同情。
儘管電腦功力超強,但蘇某對其他在學校所教的科目實在沒有太大的興趣,後來推甄考上私立大學,惟唸了幾個月,因為精神狀況不穩定,蘇便休學在家,有時會在父親開的工廠幫忙,蘇曾向警方說,他真的不想唸書,因為他認為這沒太大意義。
「愚人節是國定假日,全國放假一天」,九十二年三月三十一日,總統府網站突然出現這則訊息,高明的駭客手法闖過總統府網站的防火牆,更直接竄改網頁內容,讓國安系統嚇出一身冷汗,只是,經過刑事局偵九隊調查,發現是年僅十七歲的高中學生所為,而因當時還沒有妨害電腦使用罪的規定,只有毀損罪可以處罰,惟因屬告訴乃論,總統府又對這名學生網開一面,不提出告訴,此事便成為一則茶餘飯後的話題。
但任誰也沒有想到,這名高中學生,竟然從十五歲起,就入侵國中基測電腦系統竊取考生資料,並連續幾年偷走大考中心考生資料。
因他之前入侵總統府網站一案,被刑事局偵九隊偵辦,今年農曆年後,蘇才會再向偵九隊自首。
由於此事攸關全國每年十多萬考生的權益,著實令警方嚇一大跳,刑事局不敢大意,找來先前處理總統府案的偵查員林建隆受理,並由林與蘇懇談,終逐漸取得其信任,說出犯案經過,後來,林建隆也時常透過MSN與蘇對話、溝通。
昨天下午,神情怯生生的蘇某,亦步亦趨的跟在父親後面,低著頭離開刑事局,離去前,警方安慰他說,「沒事了,你回去唸兩個月的書,再重考大學,要加油喔」!
