全台戶役政資料外洩追蹤實錄 15萬買下23,000,000人!

台灣史上第一次,全民戶役政資料被上網兜售,從身分證字號、地址、配偶父母等親屬資料全洩漏。事發關鍵120天,內政部卻矢口否認個資外洩,對外噤聲,直到2月底,法務部證實被賤賣的就是戶役政資料。資安即國安,卻上演荒唐實錄,讓人擔心是否還有更多未爆彈?

文/鄭閔聲、史書華 攝影/王建棟 編輯/吳廷勻 設計/陳則緯

這場交易,原來是一樁見不了光的買賣。但背後,是充滿了憤慨的公民。

二○二二年十月二十一日,以「OKE」為代號的匿名使用者,在駭客論壇Breach-Forums兜售號稱全台兩千三百萬筆戶役政資料。為了吸引顧客買單,OKE更直接公開二十萬筆設籍在宜蘭的個資當作商品樣本。

「幾個朋友查證,宜蘭那份資料看起來是真的,但政府卻不出聲。整包只賣五千美元,不貴,朋友一起湊錢,就把資料買下來了,」長期活躍在台灣公民社群的小羅(化名)回憶。

史上首見全台個資公開販售 只賣台幣十五萬,每人資安不值一毛錢

見不了光,是因為依個資法,持有個資是違法行為。

小羅不是唯一購買這筆外洩資料的民眾。化名為Benjamin的白帽駭客,也是這次外洩個資的另一個買家。而且駭客圈普遍認為,這筆資料會被丟到論壇上低價販賣,表示想買的「應該」都有了。

「賣家特別強調不是上次舊的那筆(資料),很奇怪,」第二次取得台灣官方外洩資料的Benjamin,比較的是兩年多前的另一筆戶役政資料外洩事件。二○二○年,曾有駭客聲稱取得兩千萬筆台灣戶役政資料,並放上網路公開販售。當時的行政院資通安全處第一時間聲明,該份是由多方資料庫整併而成。

按照購買指示,Benjamin加了OKE的Telegram帳號,並透過虛擬貨幣,付款到指定的錢包地址。

「我換了比特幣、USDT付錢,一包檔案大小為一.九G、格式為CSV的檔案,隨即出現在我們Telegram的對話框,」Benjamin回憶。

從聯繫到交貨,不用見面,也沒有討價還價,全靠一個免費的社群應用程式,幾分鐘內,一次搞定。而這,不過是近幾年,台灣政府資料外洩的現場之一。

但是,了解這包資料內涵或熟知政府資料外洩情況的專家,都對《天下》表示,這次不一樣。

「這是史上第一次,全台所有戶役政外洩資料被公開販售,」Benjamin搖頭。
資料拼圖為詐騙添柴火 戶役政是精準「母庫」,拼湊個資更完整

「這是重大國安事件,」跟國際資安通報組織交往頻繁的台灣網路資訊中心(TWNIC)董事暨執行長黃勝雄直言,目前,沒聽過任何一個國家,像台灣出現這樣大規模的民眾資料外洩。

「戶役政是政府最核心的資料,」政大公共行政系主任蕭乃沂說明其嚴重性。

過去幾年,藉竊取個資作為工具的詐騙行為,已重創台灣社會的信任基礎。

曾是專辦網路犯罪的知名檢察官、現為達文西個資暨高科技法律事務所所長葉奇鑫回憶,多年前有次他經手駭客建立的資料庫,只要輸入「居住地:台北」、「職業:大學教授」等指令,就會自動跑出一串名單。「現在,駭客透過更多資料比對(俗稱撞庫),更能建立周圍親屬的關聯性資料庫;資料愈完整,愈容易取信於人,進行解除分期付款這類金錢詐騙,」他分析。

刑事局科技研發科股長黃翰文解釋,「資料拼圖」(Data Puzzle)是詐騙產業鏈上的關鍵節點,有專人負責拼湊不同來源資料,拼圖愈完整,價值愈高。

高檢察署查緝資通犯罪督導中心檢察官吳慧蘭則觀察,詐騙集團竊取民眾身分證字號等個資後,在網路上冒名成立社群網路帳號、網拍商城,以騙取民眾金錢的「身分小偷」,是過去幾年間日益普遍的新犯罪型態。

如今,全國最精準、最全面的戶役政資料流落在外,讓有心人士可以更容易拼湊其他外洩個資、取信於人,形同替詐騙犯罪添柴加火。

對比白帽駭客們與專家們的焦慮,政府的回應卻是避重就輕。

全世界沒聽過任何一個國家,出現像台灣這樣大規模的民眾資料外洩,如果沒有積極作為,會讓民眾對政府的治理能力更不信任。

【荒唐1】不承認資料外洩
內政部稱非真實資料,遭專家打臉


資料被兜售當天,內政部就「嚴正澄清」,「資料格式與內政部戶役政資料差異甚大,並非從內政部戶政司全球資訊網洩漏。」

數位發展部資通安全署隨後也表示,「論壇有疑似販售國人個資,並稱為內政部戶政資料外流一事,並非事實。」

直到去年十二月底,內政部說法開始出現變化。

雖仍堅稱資料格式差異、戶役政系統及政府骨幹網路並未遭駭,但也不排除「是否經由其他管道洩漏」,只是強調一切正由檢調偵辦中,基於偵查不公開,不對外發布相關訊息。

在小羅看來,過去四個月,政府是在大玩文字遊戲,他因此找上《天下》,揭露這份外洩資料的真實模樣。

打開這份CSV檔,洋洋灑灑三十九個欄位,從個人生日、性別、身分證號等資訊外,戶號、戶長,甚至是生父生母、養父養母都有單獨欄位和對應的身分證號,「檔案格式可能被賣家整理過,但除了戶政,還有哪個政府機關或民間單位會有戶號、戶長這些資料?」他問。(見72頁表1)

《天下》就小羅提供的欄位,詢問地方戶政、地政及法官等有權限使用戶役政系統的公職人員,他們對比真實系統後表示,這份資料的欄位都屬於戶役政資料,只是少了記事欄位、身分證卡片編號等資訊。

此外,經小羅比對,姓名約有兩成錯字,「看起來錯字沒有邏輯,不像是轉碼錯誤,而是駭客故意改字,」他分析。

但更出乎意料之外的資訊,是「遷入日期」一欄。從原始資料來看,最新一筆的遷入日期停在二○一八年四月。再去比對當年四月的全台人口統計,兩者規模都落在二三五七萬,也就是說,這是一份近乎完整的全台戶役政外洩。

《天下》記者也請小羅下指令,叫出我們和家人的個資,除了名字出現單一錯字,其他資訊全都正確。

我們更同步把去識別且不涉隱私的外洩資料,請求立法院各黨團幹部協助查證真偽,願意回應的立委皆確認資料正確。

二月二十四日,法務部調查局也對外證實,「外洩資料為我國二○一八年四月以前之戶役政資料,」並發現虛擬錢包地址,為中國籍人士所有。

除了戶政,還有哪個政府機關或民間單位會有戶號、戶長這些資料?戶役政是政府最核心資料,透過「資料拼圖」,愈容易取信於人,進行金錢詐騙。
【荒唐2】未通報重大資安事件
個資網上兜售四個月,政府坐視不管


「如果政府對此沒有積極作為,會讓民眾對政府的治理更不信任,」黃勝雄直言。

但從政府的反應看來,政府似乎並不在意人民的信任。

根據「資通安全管理法」,資通安全的定義是,「防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。」戶役政資料外洩,顯然已危及資安。

而且「資通安全事件通報及應變辦法」也白紙黑字寫著,只要一般公務機密、敏感資訊遭洩漏,就屬於重大資安事件,公務機關知悉後應限時通報主管機關、完成復原及損害控制作業,並且在一個月內提出調查、處理及改善報告。

「這套機制的用意是積極找出資安漏洞在哪裡,趕快把它補起來,後續再討論可能的改善方向,」黃勝雄解釋。

記者一路追查,全民個資在網上被兜售逾四個月來,內政部與戶政司並未通報重大資安事件。 閱讀完整內容
天下雜誌2023/3月 第768期

本文摘錄自‎

全台戶役政資料外洩追蹤實錄 15萬買下23,000,000人!

天下雜誌

2023/3月 第768期