駭客攻擊保加利亞國稅局資料庫,七成民眾個資全外洩

保加利亞國稅局資料庫被駭,超過七成民眾資料全外洩。專家表示,政府資料庫在駭客眼裡不僅是「金礦」,也是駭客行動的「天堂」。
評論
▲Photo Credit: Shutterstock/ 達志影像
▲Photo Credit: Shutterstock/ 達志影像
評論

根據 CNN 報導,保加利亞知名政治分析部落客 Asen Genov 公開控訴,由於本週駭客攻擊國稅局資料庫,因此有超過 500 萬名保加利亞人的資料外洩,包括他的個人資料也被曝光。

保加利亞總人口數約 700 萬,這次大規模的資料被駭外洩事件,幾乎等同於該國所有成年勞動力人口的所得資料都被迫「攤開在大眾之下」,許多保加利亞人也都可以在網路上取得他人所得相關文件。

    推薦閱讀:1111 人力銀行 20 萬筆個資外洩,回應「會負責賠償」

政府資料庫不只是「金礦」,更是「駭客天堂」

過去,數據外洩屬於高階、職業級駭客才有的技能,但隨著駭客能力「與時俱進」,現今不少駭客網站上也提供相關工具和惡意軟體,方便業餘駭客入侵 IT 系統。

英國資安公司 Clearswift 技術長 Guy Bunker 指出,此次保加利亞國稅局資料庫大規模被駭事件並非前無來者。因為在駭客眼中,政府資料庫本來就是一座「金礦」,不只擁有大量資訊,且這些數據在未來世界都極有可能派上用場。

    推薦閱讀:公務員個資遭大量外洩!銓敘部證實影響高達 24萬人

為什麼呢?他進一步解釋:「我們會不斷修改密碼,讓密碼愈來愈長、愈來愈複雜;但相較之下,政府掌握的大眾個人資料,通常短期內不會有太大改變。」舉例來說,我們的出生年月日不會改變,我們的居住地址也不會突然改變,除非明天就決定搬家。因此,政府資料庫的數據是「昨日有效,今日有效,未來也通常有效」。

政府資料庫不只是駭客眼裡的金礦,也是駭客行動的「天堂」。美國資安公司 CyberScout 創辦人 Adam Levin 表示,約在十年前,政府部門管理旗下資料庫數據的方式,通常是外包給第三方民營業者,由他們協助管理;儘管這樣的數據管理方式在今日已經過時,但當時的舊數據迄今仍然存放在第三方系統裡,也因此成為駭客眼中的「天堂」。

    推薦閱讀:星盾科技:2018 年個資外洩之年,駭客攻擊手法更趨精密,隱私防護將成資安立法重點

GDPR 規範下 保加利亞政府恐吃上高額罰金

Adam Levin 認為,未來駭客對政府機關的攻擊事件仍然會層出不窮。「現在已經是戰爭狀態,惟有我們將網路安全視為第一線議題,我們才有可能打勝仗。」

目前保加利亞警方已經逮捕一名 20 歲的網路安全工作人員,他被控訴涉嫌入侵資料庫,目前正在拘留中;如果罪名成立,他可能將面臨長達八年的監禁。

這也不是保加利亞政府機關網站第一次被攻擊。在此之前,保加利亞的商業登記處也被駭客攻擊,這也讓 Asen Genov 不得不控訴:「儘管社會、政治人物明明都知道政府基礎設施裡有嚴重網路安全漏洞,但經過了一年,卻沒有任何人出面善後或改進。」

不過,被稱為史上最嚴格個資法的歐盟資料保護法(GDPR)在 2018 年 5 月正式上路後,不僅嚴格規定企業或組織如何蒐集、儲存、使用個人數據,如果企業或組織管理數據不善,使大眾個資外洩,也得繳交高額罰款。

在 GDPR 規範下,保加利亞政府極可能得為大規模數據外洩事件,吃上鉅額罰金。截自目前為止,保加利亞國稅局發言人並沒有回應資料外洩議題,而傳播委員會也僅表示,正在進行調查中,不便透露細節。

    核稿編輯:Mia

延伸閱讀:




精選熱門好工作

Data Analyst / Data Scientist

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

Android 工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

PopDaily APP開發工程師 –【工程部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$15,000