實聯制 遠距上班 網購藏風險 疫情升溫衝擊資安

全台確診武漢肺炎(COVID-19,新冠肺炎)人數激增,為防堵疫情,幾乎所有店家都採實聯制,企業則讓員工分流、遠距上班,各級學校也全面停課,改採視訊教學,民眾減少出門,網購數量跟著爆增。但這些因應疫情的作為卻潛藏資安風險,刑事警察局發現,民間業者推出的實聯制LINE帳號有個資外洩疑慮,資安專家也提醒,在家上班、上課或網購,務必提高帳號密碼及Wi-Fi密碼的強度,電腦及手機定期更新、掃毒,最好將工作與私人電腦分開,才能避免遭受資安危害。


▲疫情期間,駭客利用實聯制、遠距上班及網購的漏洞竊取個資,衝擊資安。(東方IC)

五月二十二日,全台疫情警戒升至第三級的第一個週末, 刑事警察局接獲重要情資, 由台灣駭客年會成立的漏洞回報平台(HITCON Zero Day)收到一封警告信,內容是民間科技公司推出的「防疫實聯衝衝衝」LINE官方帳號,隱藏大量個資外洩疑慮。

民間實聯制恐洩個資

刑事局科技犯罪防制中心主任林建隆獲報之後,立即透過電子郵件提醒該公司,對方隨即回信表示「處理修補中」,並於當天晚間停止服務,但「防疫實聯衝衝衝」帳號啟用後,已有上百萬人加入好友,目前為止到底有無個資外洩情形、數量如何?尚待了解。

本刊調查,為加強防疫,掌握出入各種場所的人流狀況,政府要求所有店家都要實聯制,但消費者進入不同場域,須重新輸入姓名、電話等個資,十分麻煩,民間科技公司知惠科技於是設計出一套「防疫實聯衝衝衝」整合系統, 標榜店家綁定QR Code後,民眾只要輸入一次個資,就可直接掃描QR Code, 在綁定的店家通行無阻,該系統卻被發現有資安漏洞,可能使個資外洩。

林建隆研判,防疫實聯衝衝衝帳號,雖比政務委員唐鳳設計的簡訊實聯制還早問世,但可能是在將店家實聯制蒐集到的資料回傳公司伺服器時,沒有完整管控,隱藏些許漏洞,才讓駭客可以不經授權,就能取得民眾的個資。無獨有偶,中央流行疫情指揮中心五月二十日也發出警訊,指有不肖人士冒用疾管署名義,成立冒牌社群誘使民眾加入。

掃描QR Code 慎查連結

林建隆提醒, 這種民間開發、以某種目的蒐集個資的APP或系統,除非發生詐欺等刑事案件,否則民眾實在不易察覺個資是否外洩,政府過去也鮮少對業者蒐集個資後,是否用於蒐集目的外進行稽核,幾乎只能靠業者自律。

依《個人資料保護法》規定,各場域蒐集的個資,均要指定專人辦理並善盡保護責任,最多存放二十八天,之後就必須刪除或銷毀。

但業者真有這麼做嗎?沒人知道。林建隆指出,一般業者蒐集個資,多半是為了後續的廣告行銷,也有不肖人士把個資賣給詐騙集團,甚至出現危害國家安全的疑慮,不可不防。
相對防疫實聯衝衝衝藏有漏洞,唐鳳推的簡訊實聯制安全性則沒有問題, 但林建隆提醒,店家將QR Code張貼於店門外,務必不定期檢查,以防遭不肖人士更換,民眾掃描及傳送簡訊時也需注意是否真的傳到「一九二二」,以免連結到高額付費號碼,讓荷包大失血。

除了實體店面張貼的QR Code,網路或手機出現的QR Code更可能連結到惡意網站,不可不慎。資安專家Bf Chen 指出,操作介面越簡單越危險,因智慧型手機有自動顯示預覽連結功能,當簡訊成功發送後,惡意連結將自動轉為網站預覽模式,傳送使用者的裝置資訊, 駭客就可輕易取得對方的手機資訊。


▲資安專家提醒民眾,須注意實聯制QR Code隱藏的資安風險。

密碼定期換雙重驗證

疫情升溫下的資安風險,除了實聯制,遠距上班問題也很大。曾發現臉書付款漏洞、刪除臉書創辦人祖克柏貼文、入侵高鐵購票系統,被封為「天才駭客」的張啟元,「洗白」後已投入資安工作,目前是新創資安公司「ZUSO如梭世代」的研究員,他提醒公司行號及一般員工,在家上班千萬注意,因為惡意駭客真的無所不在。

他告訴本刊,許多民間企業、政府機關為避免疫情擴散,要求員工在家上班,但透過家中網路與公司電腦系統連結,須考量很多資安問題,公司端系統伺服器應做好權限控管,如不同部門或不同職階的員工帳號,須事先規範與區別,限制登入的系統及可連線的範圍。

為了讓員工在家上班能使用公司內部系統(如ERP)與資源,通常公司會提供虛擬私有網路(Virtual Priavte Netwrok,VPN)服務,讓員工在家登入後,使用如同在辦公室的網路環境,但除了以一般帳號、密碼識別員工身分,也應啟用雙重驗證(Two-Factor Authentication、2FA)機制加強管控。

閱讀完整內容
鏡週刊第243期

本文摘錄自‎

實聯制 遠距上班 網購藏風險 疫情升溫衝擊資安

鏡週刊

2021/第243期