5千萬筆個資被盜,健保局和中華郵政的回應
2008 年 08 月 27 日 – 22:04:42剛剛看到「個資遭駭? 健保局:比對中 應是其他單位出問題」和「中華郵政:網路郵局個資未遭駭客入侵」這兩則新聞,又是無言以對。
以下是報導中,健保局和中華郵政的回應及我的觀點:
健保局:
… 國內傳出史上最強駭客,政府機關有高達五千萬筆個人資料遭竊,媒體報導包括健保局、教育部與戶政等單位都無一倖免。
對此,中央健保局副總經理李丞華表示,目前健保局內部稽核室與政風室等正在與警政署密切聯絡比對,初步比對,並沒有發現醫療資料外洩,有關人員會繼續追查,確認是否有健保資料外露,此外,中央健保局裡所登陸的投保人民資料,並沒有記載年所得,如果外洩資料裡含擴年所得資訊,應該就會不是由中央健保局外洩出去。
李丞華也強調,中央健保局的投保人資料庫是一個封閉的專屬網路,應該不至於遭到駭客侵入,如果有遭侵入,會追蹤是否為投保單位或是其它單位出了問題,讓資料外洩出去。
萬一查證為人為疏失或刻意將資料外洩屬實,李丞華說,如果有犯罪行為,會追究責任,依法也會以犯罪偵防等相關方式懲處。…
中華郵政:
... 對於媒體報導網路郵局疑遭駭客入侵案,中華郵政公司今天說明,由於郵局客戶資料都存放在後端大型主機,屬於嚴密封閉系統,沒有被破解導致資料洩漏的可能,目前研判網路郵局發生異常的交易可能是客戶端的電腦遭入侵,客戶個人資料外洩所造成。…
沒有發現醫療及所得資料,不代表沒有資料外洩問題,如果入侵者對這些資料不感興趣的話,自然就會將其過濾掉。至於「中央健保局資料庫屬封閉專屬網路資料庫,應不會遭駭客入侵」,沒聽過實體隔離的網路,資料也會外洩嗎?況且,如果是實體隔離的話,怎麼驗證使用者資料呢?最後,千錯萬錯,都是使用者自己的錯。 
如果健保局或其他單位有擔當的話,應該接受由民間資安專家組成的檢測小組檢查,而不是球員兼裁判,畢竟,我們也是受害者,我們有權利知道真相。
“5千萬筆個資被盜,健保局和中華郵政的回應” 目前有 14 迴響
意思是說:我沒被入侵呀,封閉網路怎可能?就算會也是外包或內賊洩漏的。
By Crane on 2008 年 08 月 27 日 - 22:16:43
有時候也不要老是怪這些政府單位了….使用者習慣也是個問題
有很多人,一套帳號密碼到處註冊,因此駭客只需要破了一個小小網站(比方說網誌、留言板),就到處都跑得通(購物網站等),另外再比對一下另一邊洩漏出來的帳號資料跟身分證字號等個人資料,政府網站的帳號大多是身份證字號,那政府網站上也是一覽無遺….
By 重重 on 2008 年 08 月 28 日 - 07:34:48
如果有仔細看刑事局那邊的資料:
專案小組更發現有電信公司不肖員工及經銷商與該集團勾結配合建立假資料且架設竄改來電顯示之電信平台及架設網路電信平台做為詐財使用
內賊難防啊…..搞不好他們那些所謂專屬網路還被人家實體入侵勒….
By 重重 on 2008 年 08 月 28 日 - 08:03:15
我想這些單位會這樣回應可能是無法承受真相公開後的損失,
公開後就會要賠償,公司形象也受損….
但只要不承認,來個相應不理,搞成羅生門,等待風聲過後…哈!
By 哥布拉 on 2008 年 08 月 28 日 - 08:47:58
會有薪資所得單位我想應該不用多說會是哪些單位
另外現今政府部門可能規劃一些便民查調系統
也有可能是從這些開發者不小心流出等等
唉~我看還是等調查後才知道狀況
By 大頭 on 2008 年 08 月 28 日 - 10:11:47
看來政府單位人人練得一手好太極
By Minos on 2008 年 08 月 28 日 - 10:23:51
就算是封閉的網路也是網路,健保那邊總要跟醫院連線吧,偽裝(或者找小診所配合)一個端末侵入系統也不是不可能,電信公司更是如此(不是說有不肖經銷商嗎?根本就是他們去辦的吧)制度面上的稽核落實才能確實保護個人資料…..
資安管理系統在推與其說是技術面的東西,不如說都是制度面的東西….制度的落實根本就追不上資訊系統擴張的速度(整個單位只有資訊室有資安,請問是要怎樣落實…)
By 重重 on 2008 年 08 月 28 日 - 11:19:39
被入侵的單位總是最後一個知道…
By oolong on 2008 年 08 月 28 日 - 12:07:30
政府單位都是如此,出事就都把事情往外推都不是自已單位的問題
並沒有記載年所得,如果外洩資料裡含擴年所得資訊,應該就會不是由中央健保局外洩出去
不能用交又比對或資料拼圖,去拼湊出來嗎
客戶端的電腦遭入侵
有可能一次這麼多電腦被入侵嗎?
By winson on 2008 年 08 月 29 日 - 11:32:02
…..我是想問一下 .有個人 公司 機關 政府 資料外洩有人承認過的嗎 ?
我在電池先生買電池.3個月後詐騙集團打電話來詐騙.內容完全是該次交易. 電池先生也是發個公告.請用戶自己小心電腦資訊安全 .其他的呢? 一概不承認….
By pavo on 2008 年 08 月 30 日 - 22:51:48
回樓上,
美國的服飾廠商GAP主動公開資料遭竊情形,並主動提供受害者一年免費的信用監察服務,台灣的話,疾病管制局算是比較正面的範例了,還有payeasy,每次只一懷疑遭到駭客入侵,便主動說明情形,並做初步處理(Ex:凍結可疑帳號…etc).
至於比較糟糕的,目前大概都是些購物網站,尤其網路書店情況最為嚴重…糟糕的案例太多,就不一一說明了…
By Roamer on 2008 年 08 月 31 日 - 16:49:07
看到很多人在上面訐譙政府單位,不巧地,小弟正好在某個地方政府單位的資訊部門做事。
當初小弟也是懷抱著為國家做事的心,考入政府單位。
正想發揮自己那一丁點才能,才發現不是那麼回事。
我是資訊人員,走的是技術風,可是一天到晚有辦不完的公文;有處理不完的,跟資訊一點都沒關係雜事,沒有機會再寫程式,沒有機會再管理網路,更別提換CPU、RAM之類的事。
我的長官不是純正資訊血統,而且根本對資訊技術不通,很多事他不相信我們資訊人員的建議,只聽資訊廠商的業務唬爛。
很多人說,網站被掛馬都是政府部門資訊人員的錯,我想委婉地告訴大家,這並非全是資訊人員的錯!
是這個政府的體制有毛病!很多技術人員考進來之後,做的都是行政的事!跟自己本業無關!遇到非專職長官,又不肯傾聽下屬意見的,更是做到沒力!
再說,只要出了事,就是找廠商,找廠商!結果找來的廠商大多都只是用現成的工具掃一掃,表面沒事,就說沒事,反正他們吃定政府單位的長官不懂資訊。
但,找廠商都要花錢!佈建所謂的資安環境,ISO 27001認證所花的錢,都是民脂民膏!
我很不客氣地要對這些所謂的資安廠商說一些話:
你們收費那麼貴雖然有道理,但那只有中央單位才付得起!地方單位根本付不起!然後當我們這些付不起的單位出包時,才淪得到你們在那兒放砲!說我們都不負責任?
我們資訊人員是很想負責,但是因為工作內容大多都不是本業,再加上現有的體制,實在做得很無力,只能祈禱自己不要繼續沈淪,催眠自己就算再怎麼被長官打擊,也要繼續保持對資訊的熱情,如此而已。
說這麼多無非是要告訴大家,我們政府單位的資訊人員真的是盡力了…但有些情形真的是無可奈何…
言盡於此…謝謝大家…
By 小技士 on 2008 年 09 月 6 日 - 13:27:58
公務繁忙不代表沒有繼續學習的機會,要不要問問站上幾位大大每天花在學習與精進上的時間?長官不懂,不代表底下的人要跟著延續這個錯誤的傳統!找來的廠商用工具掃一掃了事,吃定長官不懂?既然如此,何不把他們換掉?何況,長官不懂,至少你還懂啊!不該如此被廠商吃定!
專業是努力得來的,而不是源於血統或層級!小弟也見過不少隱身於政府單位的資訊高手,默默地在努力耕耘著!他們並不全都是中央政府單位,有些甚至原本專業也與資訊無關,在承接資訊業務後,才去進修學習的!
而且以現今的資訊環境來看,任何單位的資安疏失,都可能造成使用者的損失,使用者當然有權質疑這些單位不負責任!
最後,還是希望小技士繼續保持熱情,即使在技術上真的無能為力,至少也要學會監督廠商的能力…:)
By Roamer on 2008 年 09 月 6 日 - 16:31:33
其實Roamer說的,在”理論上”都是對的,而且我個人也很認同。只是在”實務上”…嘿嘿嘿…很多事都沒有這麼理想…
就像股市名言「千線萬線不如一根內線」
不過我仍然會繼續保持熱情滴~
By 小技士 on 2008 年 09 月 6 日 - 20:42:37