OWASP 心得分享之2 - Email 與 5000萬筆個資外洩事件

這2天的會議中, 最淺顯的 Topic 應屬 Day 1 由 ICST Charmi Lin 主講的 Email 安全性問題 與 由 警政署 PK 主講的5000萬筆個資外洩事件

Email 問題方面, 點出了更改密碼並不完全有助於帳戶遭盜用問題, 由於一般使用者並無習慣檢查相關 mail 帳戶的設定, 所以很有可能在 帳戶被盜用同時, 帳戶可能被設定如轉寄信件等功能, 使用者仍不自知, 所以更改 mail 的 password 無論多少次, 是完全沒用的

講到 Email 問題, 時至今日, 即使是 IT 公司, 會無視 Email 特性(不安全性與不確定性), 在仍使用 POP與 SMTP 的環境下, 來傳遞重要的資料, 甚至當作稽控流程的一部分, 這種無異於資訊自殺的行為竟依然可見 (在資安政策落實的公司中, 是能用 mail 系統來做稽控流程, 但前提是, 先停用不安全的協定, 最常見的用法為 Note 或 Exchange 配合 VPN 使用, 但很多公司的 E 化只導稽控流程至 mail 系統卻未考慮資安問題, 反而造成門戶大開)

5000萬筆個資外洩事件, 是 Pogo 最有意見的一場 Topic, 針對的並不是 PK 的內容, 而是這事件背後所帶來的更多問題, 以這場的 Topic 明白的確定了這事件的真實性 (先前 Pogo 有提及這事件, 但一直得不到官方的說明不敢冒然發文) 但我認為 PK 應足以代表官方的証明, 直接証實了該事件的問題

以 PK 的說法, 官方証實經多種管道造成資料外洩, 除了 Hacker 入侵外, 最大宗的是勞健保資料轉移時, 被人直接以 HDD copy 走

也就是說, 理論上 民國95年前出生的人的所有個人資料都己外流

這會有什麼問題? 除了諸多 "身分驗証" 的流程以是個人資料來做, 如某些電話申請服務或線上服務, 這些機制未來將會形同虛設, 如果 Hacker 手上有這份資料, 是最佳的攻擊 "字典檔" 由於相當大比例的人, 密碼或一些安全機制, 會使用與 個人資料 相關聯的資料來方便記憶, 如身份証字號, 電話號碼, 出生年月日等等, 以這些為依據來做破解的計算, 會大大的縮短入侵所需的時間

最令人不滿的是, 即使己有官方的人以此為案例來教學, 卻未見官方對這重大事件有任何進一步的說明與負責, 即使官方己知有多少資料流失, 也未如 PCI DSS 的做法, 負責任的通知資料被流失的個人, 這做法實在讓人無法認同