資安危機
」 資安 駭客 個資
俄駭客成功滲透國防承包商!英軍機密文件在暗網被看光光
英國國防部正針對俄羅斯駭客組織,竊取數百份敏感軍事文件並於暗網(dark web)散布的指控,展開全面調查。據英國保守主義報紙《星期日郵報》(The Mail on Sunday)的獨家揭露,遭洩露的機密檔案詳細記載8處英國皇家空軍(RAF)與皇家海軍(RN)基地的安防資料,更包含國防部職員姓名與電子郵件等內部資訊,所有資料皆可透過特殊軟體於暗網這片網路隱匿區域中存取。據《BBC》報導,此次事件核心指向國防部合作廠商「多德集團」(Dodd Group),該企業證實其系統曾遭勒索軟體攻擊,並發表聲明強調「以極嚴肅態度處理相關指控」。集團發言人進一步說明:「我們確認近期發生未經授權的第3方暫時入侵內部系統的事件,已立即採取封鎖行動、強化系統安全,並委託專業資安鑑識團隊調查事件始末,目前正全力查核資料外流的具體範圍。」英國國防部則在官方聲明中坦言:「我們正積極調查國防部相關情報出現於暗網的指控,為維護作戰敏感資訊,現階段恕無法對細節進一步評論。」值得注意的是,《星期日郵報》披露的檔案中,包含薩福克郡(Suffolk)雷肯希斯皇家空軍基地(Royal Air Force Lakenheath)等高度敏感據點的資訊,該基地正是美軍「F-15E打擊鷹式戰鬥轟炸機」和「F-35閃電II戰鬥機」的海外部署要衝。這起資安危機並非英國軍方體系首度遭遇大規模資料外洩。去年才傳出有現役軍人個資遭非法存取的重大漏洞;今年8月又爆出國防部下游承包商疏失,導致數千名因協助英軍而被允許撤離至英國的阿富汗民眾的個資曝光。這一連串資安事件,引發各界對英國軍方資訊防護網的深切憂慮。
Windows 10將停更 4億台電腦無法升級面臨資安危機
微軟宣布,作業系統Windows 10將於2025年10月14日後停止版本更新與支援,涵蓋企業及個人用戶。然而截至今年8月,全球仍有46.2%的Windows用戶使用Windows 10,約有4億台電腦因硬體限制無法升級至Windows 11,引發高度關注。根據外媒的報導,美國消費者權益組織《消費者報告》(Consumer Reports)已致函微軟執行長納德拉,呼籲延長Windows 10的免費支援期限。該組織指出,如果微軟拒絕延長更新,數億台電腦將面臨資安風險,包括資料外洩與網路攻擊的威脅。《消費者報告》批評微軟一方面鼓勵用戶升級至Windows 11以強化網路安全,另一方面卻將現有Windows 10用戶暴露於風險之中,並稱此舉「虛偽」。此外,加州聖地亞哥的個人用戶Lawrence Klein上月對微軟提起訴訟,指控公司利用Windows 10支援終止迫使用戶購買新設備。他認為,微軟此舉可能造成電子廢棄物增加,並危及未使用微軟產品用戶的資料安全。他希望法院要求微軟持續免費支援Windows 10,直到使用率降至10%以下。微軟此前已開始向用戶發送更新通知,提供延長Windows 10支援的兩種免費方式,一是使用1000點Microsoft Rewards兌換,二是將「設定」同步備份到雲端。若選擇其他方式,個人用戶需支付30美元以購買一年延長安全更新資格。事實上,Windows 10於2015年發佈時,其10年的生命週期看起來似乎並不合理。然而這款作業系統的普及卻比預期耗時更長,雖然Terry Myerson在發佈時雄心勃勃地預測,這款新作業系統將在兩到三年內覆蓋10億台設備,但這一里程碑直到2020年才得以實現,如今距離實現已經過去了近5年。相比之下,Windows 11推出四年以來普及速度更緩慢,部分原因在於新系統對硬體需求較高,對一般用戶及企業而言升級成本過高,但對遊戲玩家而言則因效能提升而遷移較快。專家指出,Windows 10支援終止後,尚無法升級的舊設備將面臨更高的安全風險,用戶需自行評估是否升級或採取其他防護措施。
美國揭中國駭客「Salt Typhoon」全面滲透 川普、萬斯手機也遭攻擊
根據《紐約時報》與《華爾街日報》等多家媒體引述美國官方最新警告指出,自2019年起,中國國家支持的駭客組織「Salt Typhoon」(鹽颱風)對全球發動一系列資安攻擊,美國總統川普(Donald Trump)與副總統萬斯(JD Vance)去年競選期間的手機亦遭滲透,美國資安單位憂心,美國民眾「幾乎無人倖免」。曾任FBI網路安全部門高層的凱薩(Cynthia Kaiser)表示,這場網攻規模之廣前所未見,「我無法想像有哪位美國人能倖免於難」。美國網路安全暨基礎建設安全局(CISA)日前也指出,Salt Typhoon透過入侵電信公司的路由器,長期滲透美國與全球通訊網路,是一場「持續且蓄意的滲透行動」。早在2024年10月,川普與萬斯在競選期間即傳出手機通訊遭駭,引發FBI展開調查。如今調查發現,Salt Typhoon的行動不只針對政治人物,更涉及數百萬美國人個資,包括電話、簡訊、甚至法庭核准的監聽資料,極具國安風險。美方表示,這波駭客行動也波及至少80個國家,Salt Typhoon針對的系統包括電信、政府、交通、住宿與軍事基礎設施。駭客集團被指與多家中國科技企業有關,這些企業長期為中國人民解放軍及國安單位提供網路產品與服務。前CIA數位創新副主任尤班克(Jennifer Ewbank)指出,Salt Typhoon代表中國網攻進入「新階段」,其行動展現出高度技術、耐心與戰略性,與十年前以竊取商業機密為主的攻擊方式已大不相同。《紐時》亦引述消息指出,Salt Typhoon當時入侵了包括Verizon、AT&T、T-Mobile等美國主要電信業者系統,並取得川普與萬斯的手機資料。這場被形容為「美國史上最嚴重電信駭客事件」的資安危機,引發政界高度關切。參議院情報委員會民主黨首席議員華納(Mark Warner)指出,FBI當時掌握約150名手機遭駭的受害者,但估計實際影響可能擴大至數百萬人,因為通話與簡訊聯絡人也可能連帶受波及。對此,中國駐美大使館發言人劉鵬宇則回應表示,美方並未提出「具體、可信的證據」,中方一貫堅決反對任何形式的網路攻擊與犯罪行為。另據報導,今年5月華納與多位參議員已致函美國國土安全部長諾姆(Kristi Noem),要求重新啟動「資安審查委員會」,強化政府與企業應對類似駭客威脅的能力。該委員會曾於2025年1月遭裁撤,目前尚未重啟。
iOS、WhatsApp遭遇串連攻擊「用戶資料遭竊」 Apple、Meta急修漏洞
蘋果日前為iOS與macOS釋出安全更新,修補一個被形容為「極度複雜、專門針對特定目標」的高階攻擊漏洞。隨著技術細節陸續曝光,資安社群發現,這次行動並非單一弱點遭入侵,而是透過WhatsApp與Apple作業系統的兩個漏洞串聯,讓惡意訊息得以無需互動便滲入受害裝置,進一步竊取訊息與資料。專家警告,隨著漏洞編號已公開,尚未更新的系統將成為下一波攻擊焦點。根據《9to5Mac》、《TechCrunch》報導,WhatsApp的CVE-2025-55177與蘋果修補的CVE-2025-43300共同構成了這場攻擊鏈。Meta在安全公告中承認,惡意訊息能直接抵達用戶終端,再由系統層面的缺陷接手,完成入侵與資料外洩。蘋果則在公告裡形容這是鎖定特定個體的「高階滲透手法」,並呼籲所有使用者立刻安裝更新。國際特赦組織安全實驗室主管凱爾巴爾(Donncha Ó Cearbhaill)解釋,這波行動自5月底展開,持續約90天,波及的WhatsApp用戶達數十人。他將此定義為典型的「零點擊」攻擊,也就是受害者「不需點擊或互動」,惡意程式就能被植入。Meta目前已向少於200名疑似受影響的使用者發出通知,警示內容直言,他們可能收到透過WhatsApp傳遞的惡意訊息,並同時遭系統漏洞利用。公司建議受害者最穩妥的做法是進行完整出廠重設,並強調保持WhatsApp與作業系統版本最新才能降低風險。Meta發言人富蘭克林(Margarita Franklin)表示,CVE-2025-55177已於「幾週前」完成修補,但至今尚無法確認背後操作者的身分與完整受害規模。報導中也提到,這並非WhatsApp首次被利用為政府級間諜軟體的載具。美國法院5月時判決NSO集團(NSO Group)因2019年大規模入侵事件須向WhatsApp賠償1.67億美元;當時逾1400人遭植入Pegasus間諜程式。更早之前,WhatsApp也曾攔截一場涉及義大利社會人士的監控行動,外界質疑與Paragon工具有關。目前蘋果與Meta均已完成修補,但資安專家提醒,一旦漏洞技術細節公開,未更新的裝置將迅速成為掃蕩式攻擊目標。就算不是知名人物,用戶仍應及時安裝最新更新,必要時評估是否進行出廠重設,才能在這場跨平台的資安危機中降低風險。
Google將撤銷中華電信憑證信任 葛如鈞籲政府速補救
國民黨立委葛如鈞今天表示,Google 宣布自 7 月 31 日起, Chrome 瀏覽器將全面撤銷對中華電信及其政府憑證鏈的預設信任,可以說是一場「核彈級的數位信任大爆炸」,不僅是單純的技術問題,更牽涉到國家資安與全民信任的重大危機,對於政府網站影響更甚於民間企業網站,政府應該儘速謀求補救。葛如鈞說明,Google 在公告中批評,中華電信在憑證合規通報上的延遲,導致其誠信遭到質疑,中華電信的憑證若未及時更換,未來民眾使用政府網站或重要服務平台時,瀏覽器將不再顯示安全鎖,甚至可能跳出整頁紅色警告或直接封鎖畫面,對民眾信賴構成重大打擊。他直言,政府高喊數位信任與全民防詐,但如果連基本的憑證管理都做不好,人民怎麼相信政府能守得住資安?葛如鈞指出,據統計,台灣電話個資外洩率高達 62.4 %,居亞洲第二;僅今年 5 月的一週內,就有高達 21 億元詐騙金額,情勢非常嚴峻。為因應此次資安危機,葛如鈞提出呼籲,第一、建立可信身份系統:借鏡國際經驗,包括 OpenAI 創辦人 Sam Altman 發起的「World」計畫,運用匿名虹膜掃描與零知識證明技術,驗證使用者真實與唯一性,協助金融、電商與社群平台強化防詐機制。第二、推動公私協作、導入 AI 防詐:整合如 GoGoLook 等本土新創企業資源,政府應主動結合、擴大合作,打造AI防詐科技產業鏈,提升台灣在全球資安與防詐領域的競爭力。葛如鈞並表示,政府必須提高對數位信任的危機意識,這次事件不是單純的資安漏洞,而是國安警訊。臺灣應該主動結合先進科技,成為亞太AI防詐領導者,保障民眾資安權益,守護國民的數位安全。針對Google Chrome發布將移除中華電信在2025年7月31日後所簽發的新憑證一事,數發部說明,從今年3月起就已經先啟動政府網站雙憑證機制,採用台灣本土憑證機構所簽發之憑證,應能確保政府網站在各主流瀏覽器上都能持續安全運作,保障民眾瀏覽體驗不中斷,繼續維持公共數位服務的穩定性與可信度。數位發展部數位政府司司長王誠明今天在數發部記者會表示,年初就掌握到相關資訊,研判是中華電信管理與作業面機制處理不當,而非技術標準問題,更不是資安議題。數發部當時已經採用「雙憑證」備援機制補救,確保有另外的憑證能使用,據他瞭解,中華電信已經表示將努力爭取讓Google在明年3月重新取得信任,由於數發部、中華電信只是委外契約關係,若屆時憑證仍無法發,由於已經有本土憑證可以代替,將可確保政府網站在各主流瀏覽器上都維持安全運作。
首宗辦案神器遭竊案! 男上門報案被揪身上有K 竟偷M police作為報復
北市治安史上爆發首宗先進行動載具「M-Police」系統失竊的狀況!西湖派出所日前一名男子上門報案,卻被警方發現,他是毒品列管人口,還持有微量K他命遭到裁罰,男子疑似心有不甘,離去時順手偷走警員辦案神器「M-Police」,警方發現後,調閱監視器以及出動10名警力對犯嫌出沒地點進行地毯式搜索,所幸案發後24小時內找回失竊物品,警員因保管疏失懲處1小過。根據《ETtoday新聞雲》引述內湖警方說法,當時西湖所王姓警員因勤務需要領用該台「M-Police」手機後,因整理勤務裝備和同事交接工作事務,把「M-Police」放在值班台上,就這樣被剛被裁罰完的毒犯順手牽羊摸走,內湖警方緊急成立行動載具失竊協尋專案小組,根據該犯嫌出沒地點及調閱相關監視器畫面急著逮人。內湖警方表示,8日下午15時許發現「M-Police」被竊後,立刻聯絡市警局資訊室進行遠端控制把該行動載具上鎖,加上王員領用後也未使用帳密登入「M-Police」系統,竊嫌應無法登入警用行動載具系統查詢他人個資,直到9日15時,專案小組鎖定竊嫌在萬華龍山寺捷運站附近出沒,立即趕赴現場將他逮捕歸案,並順利找回該隻搭載「M-Police」警用行動載具系統的iPhone手機。另據知情人士透露,目前北市先進行動載具「M-Police」規格為iPhone14手機內建加密的警用查詢系統,結合智慧手機和電腦功能,不僅能查失蹤人口、中輟生、贓車及警示帳戶,輸入車牌或身分證,對方姓名、出生年月、電話、戶籍地等資訊立刻現形,連帶可與犯罪系統串聯,堪稱是警界辦案神器。由於「M-Police」可連結政府戶役政、車輛監管資料、司法犯罪紀錄資料庫,功能相當龐大,另有不具名的員警私下表示,「M-Police」雖可遠端鎖機,但硬體若被拆解重製,仍有洩密風險;這起失竊案堪稱是北市警局近年來破天荒最大的資安危機,對此,內湖分局表示,尋回「M-Police」載具後,對裝備領用保管疏失的王員祭出1小過懲處,市警局督察室也將對內湖分局西湖所進行業務督導考核,加強警員領用保管警用裝備的安全意識。
議員揭北市府電腦裝大陸軟體 恐有資安漏洞
行政院在2020年發函各公務機關,若有遠端視訊會議需求,不得使用具資通安全疑慮的產品如視訊軟體Zoom,公務用資通訊產品不得使用大陸廠,更不能安裝非公務用軟體。但民眾黨議員陳宥丞發現,北市府部分機關的電腦仍安裝Zoom,或小米、騰訊、阿里巴巴、華為等應用軟體,恐有資安漏洞。陳宥丞表示,科技愈來愈進步,公務機關妥善運用科技,能精進施政品質與效率,若不當使用相關軟體或科技,則可能造成公務機關資安危機,不可不慎,因此為避免公務與機敏資料被竊,行政院於2020年發函各公務機關禁用Zoom、不得安裝非公務用軟體等。不過陳宥丞發現,根據「112年度台北市總決算暨附屬單位決算及綜計表審核報告」指出,27個台北市政府暨所屬資通安全責任等級B級機關,提供數位發展部資通安全署的資訊資產盤點資料中,竟發現部分機關的電腦含有Zoom或非公務用資通訊軟體(如小米、騰訊、阿里巴巴、華為等)情形。他直言,雖然北市府回覆表示已發函督促各機關,然此勸阻方式恐不受各機關重視,一旦不需要提供相關資產盤點資料,各機關可能便宜行事而再次裝上小米、騰訊、華為等有資安疑慮的軟體。陳宥丞指出,公務系統還涵蓋市民的個資以及多項核心業務,如果出現資安漏洞,衝擊範圍會相當大,資訊局應全面檢視目前各機關電腦安裝有資安疑慮軟體的情形,並提出更完善的定期檢核措施。資訊局長趙式隆表示,資安即國安,特別是近期針對政府部門的境外攻擊頻傳,資安意識是基本功,確實需持續重視。他強調,原則上包含大陸軟體在內,非公務用軟體均不得安裝於公務用資通訊設備。趙式隆說,各局處的公務用資通訊設備均已透過有關防護系統掃描,可針對軟體資產偵測檢視,對各機關電腦有安裝資安疑慮軟體的情形,將從嚴認定。
馬偕醫院遭駭客攻擊 許淑華:再次凸顯國家資安重要
馬偕醫院日前遭遇駭客長達3天的網路攻擊,台北市議員許淑華昨(14)日表示,馬偕醫院爆發駭客勒索事件,再次凸顯國家資訊安全有多麼重要,並表示,這也再次應證,「總預算之亂」,就是一場不理性的政治鬥爭,藍白以不明確的理由,說數發部「沒做事」,針對數發部刪除40%、凍結20%預算。但關乎你我權益的資安危機,本就是發生在「看不到」的地方。許淑華指出,2月9日起馬偕醫院受到駭客組織長達3天的網路攻擊,外界盛傳攻擊來自中國,不過醫院尚未證實。許淑華認為,本次事件最大的關鍵在於,這是由衛福部與數發部首次合作辦案,攻擊爆發後第一時間,資安署就採取緊急應變機制,因此這場長達3天的駭客攻擊,才沒有造成病患資料外洩,受害得以控制。許淑華指出,這也再次應證,年初由藍白聯手製造的「總預算之亂」,就是一場不理性的政治鬥爭。他們以不明確的理由,說數發部「沒做事」,針對數發部刪除40%、凍結20%預算。但關乎你我權益的資安危機,本就是發生在「看不到」的地方。許淑華說明,從年初的馬祖海纜全斷,再到這次馬偕醫院的駭客事件。我們的日常生活可以維持運作,其實是因為有數發部的專家們日夜不懈的結果。數發部以及轄下的資安署,就是在守護這些「看不到」的危機。不管最近藍白突然態度退讓,他們亂刪凍總預算,對國家傷害已經造成,相信大家都銘記在心。許淑華強調,這場混亂,打從一開始就是國民黨與民眾黨起頭的,始終相信在民主國家,公民才是社會的主角。「公民社會的反撲,一定會讓藍白看得到」。
駁吳欣盈控實名制資料引資安危機 健保署:已全數銷毀
民衆黨副總統候選人吳欣盈22日於副總統政見發表會上,針對疫情期間,口罩實名制恐引發資安外泄問題,并稱詐騙集團能夠輕易取得民眾的個資,尤其特別點名疫情期間的實名制資料。對此,中央健保署23日回應,口罩實名制資料於疫情期間均有嚴格資安保護未曾外洩,並隨著防疫等級下降配合退場,且已全數銷毀。副總統候選人政見發表會22日上演,民眾黨副總統候選人吳欣盈、國民黨副總統候選人趙少康、民進黨副總統候選人蕭美琴,三人首次面對面對決。據抽籤決定順序,作爲首個發言的吳欣盈不僅全程使用國語,更是對於資安危機引發的種種詐騙行爲,發表看法。吳指出,台灣詐騙問題嚴重的原因與資安外洩有緊密的關聯,詐騙集團能夠很容易地取得民眾的個資,尤其在疫情期間留下許多的實名資料,但這些資料都不知道流向哪裡。 對此,中央健保署做出3點回應,第一、疫情期間健保署配合指揮中心防疫政策,辦理口罩實名制1.0、2.0及3.0系統;分別透過藥局,超商及網站APP等多元管道,提供民眾以健保卡購買口罩,購買紀錄資料於健保署端傳輸及儲存時均經安全之加密保護機制,期間並未發生個資或資安外洩情事。第二、因疫情已於今年五月一日正式降級,口罩實名制系統配合退場,健保署原有於口罩實名制期間之個人購買口罩紀錄亦完全依據個資法及指揮中心要求,於資料目的結束後,已全數銷毀不予保留,並無所謂疫情期間留下許多實名資料之議題。第三、健保署配合指揮中心防疫政策,於最短期間內完成口罩實名制等重要任務,協助疫情期間防疫物資之公平分配,且健保署為行政院核定之資通安全A級機關,對於個資和資安之強化及保護向來重視,疫情期間亦未有鬆懈。最後,中央健保署強調,口罩實名制資料於疫情期間均有嚴格資安保護未曾外洩,於疫情指揮中心結束後已全數銷毀並無保留,健保署一本初衷照護全體國民健康,同時極為注重個人資料安全,盼外界可充分理解,以正視聽。
總質詢提出新選區議題 黃捷:無論在何處都始終如一
高雄市議會自11月中展開為期兩週的市政總質詢,高雄市議員黃捷今(24)日在議會進行總質詢,針對居住正義、大美術館計畫2.0、照顧基層警消、體育產業與長照等重要議題進行質詢,有趣的是,在場不少議員及議事人員搶著與黃捷合照,聲稱是「畢業照」,並預祝黃捷進入國會。黃捷表示,對於高雄的關心不分選區,無論身在何處,都會始終如一傾聽民意。在總質詢中,黃捷分別針對高雄五大願景提出建議,以繁榮社會、多彩高雄、自信台灣、安心環境、溫暖生活為核心概念,尤其她特別關注立德棒球場議題,她說自己是棒球迷,提出「立德轉型三級棒球基地」計畫,建議市府要盤點可用容積、現有園區用地,以及增設重訓室、水療室、室內打擊場等設施,還有常態派駐防護員、運動醫療諮詢等服務,而高雄市長陳其邁也表示將共同努力,提升市民福祉。高雄市議員黃捷在議會針對「立德轉型三級棒球基地」計畫,建議市府能從多方面進行服務,也獲得高雄市長陳其邁正面回應,表示將共同努力,提升市民福祉。(圖/黃捷競選辦公室提供)此外,黃捷重視人猴共存理念,特別強調壽山動物園在遊客管理上的必要性,包括防猴袋的配發、園區戶外禁止飲食等,並呼籲加速園區空間整建,提升動物園保育員薪資。而對於議題多元性,黃捷也提出照顧基層警消、擴充C級巷弄長照站等建議,並希望高雄能做好城市外交,與理念相近的友好國家緊密合作。黃捷也提及資安危機問題,強調台灣企業遭受駭客攻擊全球最多,包括網路書店、購物平台、電影院的線上購票等,詐騙與個資外洩案例層出不窮,尤其來自中國的威嚇,呼籲市府正視這個問題。黃捷表示,許多議題過去都是她長期所關心,最近在選區也深獲市民對她的問政肯定,更表示有感受到肩上有重大的責任與期許,因此,將會更加努力實現對高雄市民的承諾。
遭駭客入侵!傳民眾個資+機敏資料全曝光…司法院回應了
政府機關再傳資安危機。日前有媒體報導指司法院遭駭客成功入侵,導致判決書、民眾個資、各機關資料皆被駭客取得,且駭客已得到最高管理員權限,能隨時變更、竄改所有資料。對此,司法院作出3點回應。據《民報》報導,有白帽駭客依據相關資料稱,不法駭客於今年4月3日使用SQL注入式攻擊等手段,入侵司法院網站資料庫並取得最高管理員權限,任何由該院授權認證的內部人員及一般民眾查詢判決書用帳號密碼、各地方法院電話及地址,乃至判決書內容及系統原始資料等,都被不法份子掌握並可能遭竄改,資料甚至遭公布在Telegram群組任人下載。報導也指,這情況除代表不法駭客掌握數量龐大政府資料、民眾個資及隱私、能恣意變更資料內容,還牽涉各機關內部修改帳密,與是否通報民眾更換帳密等後續問題。然而,白帽駭客10月3日已透過管道傳達給司法院,但該院直至11月7日仍在瞭解狀況中,9日也僅回覆「資安無虞」,未解釋是否修復弱點、主動通報數位發展部。對於遭爆駭客竊取資料、資安意識不足,司法院在今(13日)發布新聞稿澄清,指今年8月中旬因有資料外洩疑慮,旋即成立專案小組,依「資通安全事件通報及應變辦法」規定通報,之後確認受駭主機為民眾查詢機主機,且無民眾註冊帳號、沒儲存裁判書,再檢視外洩資料亦無涉及機敏後,持續嚴密監控。司法院強調,資訊處發現後已立即採取變更密碼、設定主機防火牆規則、禁止該台主機對外連線,禁止其餘主機連入等措施,也重建新主機取代之,並已在8月底向國家資通安全通報應變網站進行結案通報,目前無資安疑慮,無該報導所指內網密碼、判決書被公開。
密錄器零件中國製造恐引爆資安危機? 北市警回應了
北市警局為提升員警裝備,2023年辦理微型攝影機(密錄器)採購案,規定密錄器內需具備Wi-Fi連網功能,卻被媒體爆料其內部天線模組為中國製造,恐有洩密等資安疑慮。北市警局也對此回應,目前採購案尚未完成驗收程序,已在採購需求規格中,明確規範主機、軟體等原產地不得為大陸地區,而上述天線模組產品零件,並非在規範中,後續也會請廠商進一步說明釐清疑義。北市警局2023年所採購的密錄器設備,被媒體爆料指出,密錄器內的天線模組為中國製造,恐有資安疑慮。而本次採購的密錄器廠牌為「iCaming CE-T01」攝影機,但其內部天線模組卻是由「深圳市言諾達科技有限公司」製造,就有部分人士擔憂恐有將台灣警界相關影音與民眾個資洩露的疑慮。北市警局也對此回應強調,目前微型攝影機採購案尚未完成驗收程序,且在採購的過程中已明確要求規格攝影機的主機、電腦版軟體、手機版軟體、繁體中文介面專用影像管理編輯軟體與多槽功能底座不得大陸地區。而媒體所爆料指出的天線模組為產品零件,並非在上述列舉範圍,符合「數位發展部網站常見問題」中資通訊產品規範,且得標產品亦經NCC審核通過。針對此事,北市警局也將請廠商說明疑義及提出零件原產地證明外,如發現產品不符契約,或違反政府資訊產品產地及相關採購法規定者,定依契約及相關法令處理。北市警局表示,警局向來重視資訊安全問題,為避免類似疑義,爾後辦理採購時,將綜合市場產品狀態,審慎評估是否限制相關中國大陸零組件,堅守採購品質並確保資通安全不受威脅。
防堵個資外洩!政院拍板設個資三級獨立專責機關
防堵個資外洩,行政院短中長期做法。近來個資外洩層出不窮,從iRent到微風集團,企業紛紛中標,連政府都意識到資安危機。為了有效防堵,行政院日前開會定調,短期先以強化機制處理為主,中長期則要設立個資第三級獨立機關,最快本會期送立法院審議,1年後有望成立。針對重大矚目個資事件的處理方式,行政院陸續召開跨部會議討論,擬定短中長期做法。短期將採先前已公布新建立的機制,須於3日內進行行政檢查,10日內完成報告並報告,隨後政院要在兩周內召開會議檢討。此外,考量目前個資法罰則太輕,上限僅20萬,國發會因為是個資法的法律解釋機關,將推動修法。至於個資法裁罰要提高到多少?官員指出,目前裁罰是2到20萬元,且只要限期改善就不罰,但考量應有改善程度的認定,將進行分級;至於開罰額度尚待討論,必須考慮與其他專法一致性,還要盤點國內相關法規,預計本會期提出。至於中長期,行政院與相關部會已有共識,傾向讓個資獨立監督機制走向「機關化」,且應是第三級獨立機關,設在行政院底下,類似運安會的存在。知情人士說,該機關有獨立的預算跟人力,才能落實個資監督並進行裁罰。至於成立時間,根據憲法法庭去年8月對健保資料庫使用違憲爭議判決,需在3年內修法或另立專法保障隱私權,也就是114年8月前,「但預計會比這時間更快」。據悉,國發會最快將於這會期提出組織法送立法院審議,預計1到2年時間可以成立個資的獨立三級機關。實際上,個資法是普通法,規範資料處理及利用,可管公務跟非公務機關;至於資安法是特別法,比較嚴格,就資安設備導致的資安外洩做規範,且僅針對公務機關及特定非公務機關(關鍵基礎設施、國營事業跟政府管轄法人)。一旦國發會推動個資法修法,也會連動推動資安法的修法;目前資安法為數位部管轄,部長唐鳳日前便透露將重新檢視資安法納管範圍。據了解,根據個資法,如果民間發生重大案件,主管機關必須介入作行政檢查,而數位部正在研議,若民間也發生重大資安疑慮事件,要不要比照個資法,讓資安法也能明訂由政府主動介入。惟仍要考慮民間跟公家機關的界線及處理方式,公家還是需比民間嚴格,所以目前仍在討論階段。
立委踢爆 中研院生醫所爆60萬筆資料疑外洩
蔡英文總統10日出席「國家資通安全研究院揭牌典禮」並高喊「資安即國安」,但諷刺的是,近期台灣公私部門資安外洩事件頻傳,無黨籍立委黃國書昨還加碼開記者會質疑,中研院生醫所執行中的「台灣精準醫療計畫(TPMI)」未符合《人體生物資料管理條例》,國人近60萬筆巨量基因及臨床資料有外洩疑慮,恐釀國安危機。黃國書表示,中央研究院生醫所2019年由所長郭沛恩主持台灣精準醫療計畫恐未符合相關法規,有外洩國人病歷及基因資訊的高度風險。他提出5點疑慮,是否依法取得參與者簽署「人體生物資料庫參與者同意書」與告知退出權;近60萬筆巨量基因和臨床資料,是否依《人體生物資料管理條例》規定申請設置生物資料庫保管及使用?如同步持有備份,是否合法?黃國書提到,使用的基因檢測晶片、儀器,在未經主管機關許可下,檢測報告提供作為臨床使用,更讓病患下載利用,可能導致參與者陷於醫療風險;基因及臨床資料未實際去識別性,更未去連結性,有違法之虞,且該計畫接受全外資控股的GeneRight公司協助募資12億的贊助,已與境外公司商業合作。黃國書指出,基因資料不只具龐大商業利益,更衝擊國家安全,中研院生醫所保存的受試者資料除了可能外洩至國外從事商業利用,也可能流出給境外敵對勢力做不當使用,衛福部、中研院等主管機關,應進一步查處。對此,「台灣精準醫療計畫」透過中研院發出聲明,強調計畫單純作為研究使用,參與者資料皆「去識別化」,並無任何商業合作,更無資料外洩國外之情事。衛福部長薛瑞元則表示,衛福部會與中研院、國科會配合,進一步了解詳細狀況,目前也正在修改相關法規,讓人體生物資料庫更為嚴謹。據了解,該計畫目前已暫停。國民黨副發言人呂謦煒質疑,蔡英文揭牌資安院,雖已建立官網,但所有「公開資訊」全部點不進去,沒有法規、計畫、預決算書,搞得跟黑機關一樣;他批評,還有數位部擁有200億高預算,甚至花7000萬元租昂貴地段辦公室,卻眼睜睜看著人民個資遭駭客盜取,政府資安危機重重。
再喊「資安即國安」 藍痛批個資已像在網路裸奔 政府做了什麼
總統蔡英文今日再度喊出「資安即國安」,引發國民黨不滿,強調近期民眾、公私部門個人資料外洩事件頻傳,還有駭客盜取疑似戶政資料在網路上兜售,輿論接連猛烈質疑數位發展部花大錢設立卻對於資安防護無作為。國民黨說,總統蔡英文和數位部長唐鳳今天為國家資通安全研究院揭牌,再度聲稱「要打造最強資安國家隊」,但人民個資早在網路上「裸奔」光了,總統卻還說要在「兩年內」輔導政府機關導入三重驗證機制,國民黨想問民進黨政府,過去幾年在幹嘛?資安與個資防護還要等兩年?國民黨副發言人呂謦煒指出,數位發展部被質疑新瓶裝舊酒,擁有兩百億高預算,還花七千萬租昂貴地段辦公室,結果卻眼睜睜看著人民個資遭駭客盜取,政府資安危機重重,難道數位部只是「外包部」,資安防護沒半步?蔡總統說「資安就是持續精進的風險管理」,難道結果只有風險、沒有管理?呂謦煒盤點,近期租車公司、華航等個資外洩事件頻傳,除民間機構外,甚至媒體還報導大筆健保資料遭上網外流,就連戶政資料庫都傳出遭駭,超過2300萬筆疑似戶籍資料遭駭客在國外論壇散布。此外,他還說,對於民間與公家單位的資安風險,數位部不僅未做到事前監督或管理,事後更只會推諉塞責。面對健保資料外洩,唐鳳說不是主管機關但會全力配合偵辦;針對大筆戶政資料疑似外洩,唐鳳也只說「各部會要做好自身個資管理」。如果數位部無法協助公務機關與提供關鍵基礎設施的特定非公務機關處理資安威脅,避免駭客入侵盜取個資,那麼要兩百億預算的數位部又有何用?數位部從公文系統、檔案管理甚至是官網通通外包,難道連資安防護都要外包嗎?又或者數位部的職責其實是推廣麵線訂餐系統?呂謦煒說,蔡英文和唐鳳為資安院揭牌,但資安院其實是舊有之行政院國家資通安全會報技術服務中心,與國家實驗研究院資安卓越中心合併改制而成。何況行政院已經有「資安會報」、數位部有「資安署」、現在又有「資安院」,為什麼已有了這麼多資安單位,卻還是「資不安」、管不好人民的個資與政府的資通安全?揭牌成立的機構是不是新瓶裝舊酒?這麼多機構是不是疊床架屋、政治酬庸?呂謦煒並質疑,資安院雖已建立官網,但是所有「公開資訊」全部點不進去,沒有法規、沒有計畫、沒有預決算書,把自己搞得像黑機關一樣;在「資安訊息及聯防」下的「漏洞新聞」區,不僅沒有國內個資外洩與資安防護漏洞新聞,更幾乎只貼上每個月微軟公司的安全性更新。難道資安院只負責 Windows Update?連官網都做不好,民眾怎能相信資安院能維護資安?
批個資外洩已成國人日常 民眾黨:唐鳳持續神隱裝死
台灣民眾黨今(2)日在臉書上發文表示,個資外洩已成為國人日常,然而藍綠兩黨依舊不在乎,甚至在立院投票時共同封殺,使得求得內政部調查報告難上加難,2357萬民眾個資外洩的真相,恐將石沉大海。而花敬群代理部長用惱羞成怒迴避監督,數發部長唐鳳也持續神隱裝死。拿到多數選票的政黨卻辜負民意期待,只有小黨真正在乎民眾的個資是國家的悲哀。台灣民眾黨表示,民眾黨團曾多次呼籲徹查個資外洩,更贊成凍結內政部部分預算,一個月內提出調查報告才能動支,但先前口口聲聲關心外洩案的民進黨立委,竟全數反對,國民黨立委則選擇棄權,為了滿足各自的政治算計,全然不顧2357萬受害民眾的權益,這當中都是你我的重要個資。事實上內政部早已掌握內容格式,確認個資外洩並非駭客入侵,卻堅持等待刑事認定,不願直接向國人說明情況,調查報告一拖再拖,就無法依《個資法》通知受害民眾應變。台灣民眾黨指出,資安危機不只這一樁,報載衛福部桃園醫院自2020年以來,數度遭駭客入侵,衛福部台北、豐原醫院也使用同廠商系統。銓敘部2019年傳出59萬筆公務員個資外洩,網路上只賣350元。如今盜領戶籍謄本、假戶政人員電話詐財再起,難保受害者越來越多。台灣民眾黨表示,執政黨立委護航內政部至此,也難怪花敬群代理部長好大的官威,面對立委質詢資安,失控反嗆「問空話」、「羞辱官員不會加分」,甚至扭頭逕自離開質詢台,踐踏民意和國會尊嚴,完美重現「在那叫什麼」的傲慢,資安議題無奈流於口水戰。台灣民眾黨表示,喊著檢討敗選的民進黨,不到一週就忘了民眾的鞭策,黨籍立委合力反對公開個資外洩調查報告,花敬群代理部長用惱羞成怒迴避監督,數發部長唐鳳持續神隱裝死。拿到多數選票的政黨,辜負民意期待,只有小黨真正在乎民眾的個資是國家的悲哀。
英國首相與25內閣「私人手機號碼」遭賤價出售 洩漏源竟在美國
近期因爭議稅改而民調重挫的英國首相特拉斯(Liz Truss)傳出私人手機號碼外洩,某個IP位置在美國的網站以6.49英鎊(約新台幣232元)價格,兜售特拉斯與其25名內閣官員的手機號碼,一名英國前情報官員則以「令人震驚」來形容這場資安危機。據《星期日郵報》(The Mailon Sunday)報導,這個神秘網站以極低價格出售英國首相特拉斯、財政大臣夸騰(Kwasi Kwarteng)、外交大臣柯維立(James Cleverly)、內政大臣布瑞弗曼(Suella Braverma)、國防大臣華勒士(Ben Wallace)等總共26名內閣要員的私人手機號碼及其他個人資訊。外媒引述神秘網站使用者說法,表示支付相關費用後,只需輸入名字就能找到當事人的詳細訊息,個人資訊、住家地址、私人號碼及私人電子郵件帳號和密碼都能一覽無遺,已知有超過140億筆資料存在數據庫中。外媒也稱特拉斯得知此事後,已在1日晚間和國家安全顧問評估此事的威脅,不過英國內閣辦公室僅表示該案仍在調查,且大部分資料都是舊的或不正確的。另據《每日郵報》報導,前英國情報官員、網望安全專家菲利浦(Colonel Philip)則警告,一旦間諜APP入侵手機,就能以後台工作方式搜刮任何有關手機持有者的資訊,與掌握當事人的即時行蹤,且整個過程都不會被使用者發現。菲利浦也指出,中國大陸在此方面居領先地位,因此這起事件除讓人震驚外,也有必要展開大規模的資安升級。而最先爆料的《星期日郵報》指出,神秘網站的位置雖可追查到在拉斯維加斯某個低檔區,但毫不意外的是掩飾用的位置,因此僅能猜測網站的幕後黑手可能是俄羅斯或中國大陸。
莫允雯被掐脖吸不到空氣 變身最慘調查官曝心聲:原來窒息會流淚
莫允雯、李至正主演懸疑片《格瑞特真相》結合元宇宙犯罪跟資安危機,今日導演馬君慈攜演員莫允雯、李至正、江宜蓉、夏宏、余晉一同出席線上記者會,莫允雯表示拍攝時為求真實,她都會請對手演員「來真的」,被江宜蓉掐脖差點窒息、還被鄭有傑拿槍重擊臉部,讓她開玩笑喊:「真的是為了這部作品受了很多苦。」莫允雯拍《格瑞特真相》遭綁架被拿槍敲臉。(圖/CATCHPLAY)莫允雯在片中飾演調查官,原以為能帥氣拿槍辦案,沒想到在片中卻是不斷逃亡跟當人質,為了拍攝也特地去調查局見習,直呼很神秘。回想起跟鄭有傑對戲,她笑說:「有傑導演會一直問說,自己表情夠不夠變態?」片中莫允雯變成人質,與鄭有傑有對峙戲碼,莫允雯頻頻要求鄭有傑「來真的」,要求鄭有傑直接拿道具槍敲她的臉,沒想到一拍完,莫允雯臉頰就大瘀青,讓鄭有傑相當慌張,一直擔心莫允雯。而莫允雯臉頰瘀青直到殺青酒都沒退,直呼:「原來當人質是這種心情。」另一場戲則是莫允雯與江宜蓉反目戲碼,為求畫面真實,江宜蓉必須用力掐住莫允雯脖子,讓江宜蓉壓力相當大,坦承:「我看到允雯拍完以後去旁邊咳嗽,覺得很抱歉。」莫允雯則說鏡頭最後幾秒,她是真的不能呼吸,眼淚不自主地流下來,更幽默喊說解鎖窒息感受,「原來真的快窒息會流眼淚,那是真的不是演的。」《格瑞特真相》李至正(右)、余晉拍攻堅戲。(圖/CATCHPLAY)問起拍攝期間印象深刻的花絮,片中飾演調查組組長的李至正表示,半夜拍攝攻堅戲時,因應劇情要求必須大聲喊叫,沒想到卻引來附近住戶抗議,讓劇組拍攝時都戰戰兢兢,深怕打擾到附近居民。夏騰宏剛出道時,曾拍攝鄭有傑執導的《他們在畢業的前一天爆炸2》,這次兩人在《格瑞特真相》成為合作演員,夏騰宏表示當初拍《爆炸2》時覺得鄭有傑當導演時相當嚴肅,坦言:「我其實蠻怕他的。」沒想到鄭有傑當演員演出時,相當親切也很樂意分享,讓他印象深刻。莫允雯(左)、江宜蓉在《格瑞特真相》有對峙戲碼。(圖/CATCHPLAY)《格瑞特真相》主題圍繞在資安危機,演員群也不約而同有過資料外洩的經驗,莫允雯說:「過去曾有臉書被駭客駭入,用我的帳號亂發文,還好銀行資料沒外洩。」余晉也說Apple帳號曾被盜刷300元,雖然是小筆金額但也查不出盜刷來源,只能重辦信用卡了事。江宜蓉則說,有次拍戲收到朋友傳LINE求助,她不疑有它就答應幫忙,沒想到LINE帳號就被盜取,還拿不回帳號,「盜用的人還用我的名義去跟朋友借錢,有長輩收到就來問我說,最近是不是有困難?」讓她相當尷尬,趕緊跟長輩解釋。《格瑞特真相》是法務部調查局製作的國安電影,耗資500萬元,如今相隔2年重回院線上映,被鄉民打趣是:「最好看的政府影片。」導演馬君慈則笑說:「《格瑞特真相》可以當作是最好看的莒光園地。」並呼籲觀眾進戲院享受電影聲光效果,《格瑞特真相》5月13日在台上映。
開房要小心! Clubhouse 潛藏六大資安危機
語音社群軟體Clubhouse在今年初爆紅,許多民眾、名人及意見領袖爭相加入這一波語音聊天熱潮,連同其他類似的語音社群app如Riffr、Listen、Audlist和HearMeOut亦成為關注焦點。這些語音社群潛藏各種資安危機,資安業者提醒民眾使用時要更加小心。資安防毒軟體業者─趨勢科技表示,駭客看準此一情勢,正不斷變換各種詭詐的手法,伺機誘騙受害者上勾!這些語音社群軟體潛藏六大資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。第一個風險是駭客藉由分析網路流量,來攔截並竊聽聊天內容。其二是透過Deepfake(深偽技術)詐騙,也就是假冒名人及公眾人物的聲音進行詐騙,引導收聽者誤入某項投資騙局或遭受更大損失。其三是遭趁機錄音的風險,許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。第四個風險是,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。而在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務,此為第五種風險。此外,駭客亦可透過語音社群平台,為C&C建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。針對上述六大風險,趨勢科技提醒民眾,在「開房間」前有三大安全措施:首先,在線上語音社群平台發表言論如同在公開場合說話,應避免透露個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為。其次,目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人。第三,只授權必要權限、分享必要資料,在使用程式時應更加謹慎,使用者應避免開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。
開房間要小心1/邀請碼炒到100美元 跟瘋Clubhouse恐陷資安危機
特斯拉創辦人伊隆馬斯克(Elon Musk)日前受邀加入「Clubhouse」,這款語音社交App瞬間風靡藝人及網紅圈,因Clubhouse設有邀請機制,邀請碼甚至被炒到100美元。但其中的資安疑慮讓許多民眾卻步,對此,資安專家建議,安裝App以後,可先從用戶端做好防護措施,以免個資被濫用!加入Club House後,每個會員都有5個邀請名額,但對象僅限通訊錄內的朋友。(紅圈處,已用掉一個邀請名額)(圖/翻攝自Clubhouse)農曆春節期間,台灣人除了新冠肺炎疫情的話題外,最常問的就是「你有邀請碼嗎?」在特斯拉創辦人伊隆馬斯克、臉書創辦人馬克祖克柏(Mark Zuckerberg)加持下,由兩名矽谷工程師保羅(PaulDavison)以及羅漢(Rohan Seth)去年三月推出的語音社群App「Clubhouse」爆紅,雖然目前只能在蘋果iOS系統上使用,Android版本還在開發中,介面陽春,但公司估值已達十億美元。Clubhouse爆紅後,台灣許多各領域專家、藝人、網紅、政治人物、記者也紛紛加入,像是台大教授葉丙成、台大醫師蒼藍鴿、五月天主唱阿信、藝人炎亞綸、周湯豪、網紅理科太太及台北市長柯文哲等,雖然彼此擅長的領域不同,但並不妨礙在同個房間裡談天說地。台灣各領域的意見領袖包括五月天主唱阿信(左一)、國師唐綺陽(左二)、台大醫生蒼藍鴿(中)、網紅理科太太(右二)、台大教授葉丙成(右一)常活躍在Club House的各個房間中。(圖/翻攝自各人臉書專頁)