台灣的疾管署(CDC)公務信箱傳出遭到駭客入侵,KPMG安侯建業聯合會計師事務所發出警示,需特別注意進一步觀察,是否有全球防疫人員大量外洩或遭駭客鎖定攻擊的狀況,台灣CDC的公務帳號因為已外洩,我國應強化公務郵件控管機制,比如使用郵件電子簽章(SMIME)。
KPMG數位科技安全服務執行副總經理謝昀澤表示,這次事件經初步分析比對,與「4/20日美國CDC跟NIH帳密外洩到Pastebin平台上的事件」具有高度相關。他推測,這應是公務員使用公務帳號於外部網站,如:電子商務、網路服務等進行註冊,而導致的大規模帳密外洩事件。
謝昀澤表示,值得注意的是,在Pastebin公布高達1萬9,641筆帳密外洩名單中,除22筆巴布亞紐幾內亞及10筆英國名單外,台灣69筆名單是CDC是除了美國CDC及NIH外,外洩名單最多的受害者。現在需特別觀察,是否有全球防疫人員大量外洩或遭駭客鎖定攻擊的狀況。
KPMG資安實驗室主持人、副總經理林大馗說,Pastebin是駭客炫耀攻擊成果的展現平台,常有使用者遭駭的登入資訊被公開於此。使用者除了要強化本身的帳密複雜度以外,特別要注意的是,盡可能不要以公務機關,或企業所使用的帳號進行外部服務註冊,更不要於外部網站設定與公務帳號相同的密碼,如果可能,可以盡量啟用多因子認證(MFA)機制。
林大馗說,在外部的帳密一但被入侵,使用者所擁有的公務信箱、公務資料、個人金融帳號等,都將一起曝險。而台灣CDC的公務帳號因為已被揭露,可能遭駭客用於設計釣魚郵件,應考量使用強化公務郵件安全的管控機制,如使用郵件電子簽章(SMIME)。