學校使用亞昕資訊公司校務行政系統,爆出個資外洩事件,駭客取得個資後向該公司勒索鉅額贖款,亞昕拒付2周後,部分學生個資就遭駭客散布,據悉外洩的學生個資多達2萬筆,個資訊息多分布在中彰投,1988、1989年出生,內容含家長姓名、電話;教育部國教署指出,獲報後隨即啟動資安事件通報等應變措施。

7所高中校務行政系統遭駭客入侵,外界擔心他們所儲存的學習歷程檔案資料是否被破壞,教育部表示,經調查,這次駭客入侵學校校務行政系統,並未發現檔案有被竄改、刪除的軌跡,已全面檢視各校學習歷程平台備份機制規畫與落實情形。

此外,大學申請入學一階篩選結果3月28日已公布,通過考生仍要參加各校系的二階甄試,大學甄選入學委員會說,為利考生預先了解並熟悉網路上傳(勾選)學檔資料的操作介面及作業流程,4月12日至17日每日上午9時至下午9時,開放測試系統供考生實作演練,以利5月2日起系統正式開放後,不至於慌亂而延誤上傳。

向亞昕資訊勒索的駭客組織為LockBit 3.0,已從1.0進化到3.0,以往都是透過入侵電腦鎖住檔案,藉此勒索政府、企業以及個人用戶,不過日本警方在今年2月釋出解密工具後,該組職就改威脅公布資料,向企業勒索鉅額加密幣,即使美國、英國以及歐洲刑警組織多次聯合打擊該組織仍無法杜絕。

國教署指出,在3月12、14日先後接獲亞昕資訊通知,表示有個資外洩遭駭客勒索,而LockBit 3.0則是在3月29日上午於經營的群組,釋出個資的「樣品檔案」,希望兜售2萬筆台灣學生的個資,以加密幣付款後才給資料。

一名資安人員表示,向駭客聯繫後,對方聲稱有1200萬筆資料,只以1000美元出售,還表示可以議價,不過台灣僅2400萬人,資料數量不合邏輯,駭客則聲稱包含大量的舊資料,都混在一起,仍不願提供更多樣品去佐證真實性。

亞昕資訊說明,在接獲勒索後依規定通報國教署,並先後向警方、調查局報案,初步調查排除公司內部遭駭,而是駭客透過特定學校的校務系統入侵主機,執行惡意程式,進而取得學校帳號密碼,並透過該組密碼登錄其他6所高中校務系統竊取個資。

宏光展法律事務所律師張義群表示,LockBit 3.0是主要的加害者,但受國教署委託處理個資的亞昕資訊在處理個資安全維護事項時如有過失,有可能會讓國教署依照《個資法》第18、28條負損害賠償責任,當請求賠償對象是公務機關時,就會變成國賠事件。國教署賠付之後再依照與亞昕的契約向亞昕求償。

近幾年台灣詐騙案頻傳,即使蔡政府成立打詐國家隊,去年詐騙案件數仍高達3.5萬件,總財損88.78億元,創歷年新高,而詐騙案樣態以假投資、假網拍以及解除分期付款最多。

#國教署 #駭客 #亞昕 #勒索 #個資外洩