個資法專欄/健保局遭駭客冒用 個資外泄恐遭利用
刑事警察局破獲一起駭客竊取中小企業個資案件。該名駭客以健保局名義寄發電子郵件,透過惡意程式竊取中小企業內部資料中的1萬多筆個資,全案正深入調查是否有其他共犯。
今年4月底健保局發佈新聞指出,有不法份子冒用健保局北區業務組名義,寄發惡意電子郵件,該郵件提供連結,使用者點選後經由轉址網站到惡意網頁,並自動下載「二代健保補充保險費扣繳辦法說明」的RAR檔,執行後即遭木馬、後門程式入侵電腦,駭客從遠端監控電腦畫面,並竊取電腦上的個人資料。
刑事警察局表示,這起案件主要以中小企業主或會計人員爲對象,誘騙收件人點選連結下載惡意程式,入侵電腦竊取資料,再以其他名義寄出惡意郵件。例如駭客曾以國內知名貨運公司名義寄送郵件,共竊取1萬多筆個人資料。 警方懷疑被盜取的個資可能被利用以網路銀行或盜刷信用卡方式謀利,或是將個資轉賣詐騙集團。後續將聯絡受害企業清查,並繼續調查背後是否有犯罪集團。
優碩資訊科技資深經理解忠翰表示:「由上述事件可知,企業內部需要加強「社交工程的演練」來防止類似事件發生。 若企業有使用個資盤點、個資保護的產品,將檔案中所有個人資料定期進行盤點,將高風險的資料歸類出來,並且利用DLP/DRM加密保護,就算真的被竊取個資,就能在檔案被竊取的第一時間保護檔案本身,而這些被偷走的檔案也需要花費一番時間解密。依照新版個資法第29條第1項來看「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」。企業只要遭到入侵,個資又被駭客「不法蒐集」,除非企業能證明自己「無過失」,否則依法就賠定了。」