Search
🔩五倍券又爆遭冒綁,政府資安螺絲掉滿地
還記得9月22日上午,中秋連假後的第一天,因各數位支付加碼優惠及好食券皆為限量,全民瘋搶數位五倍券綁定。
沒想到,系統根本扛不住瞬間湧入的流量導致網站當機,有人搶了一整天還是沒搞定;還有網友發現綁定郵局Taiwan Pay時,只要按一鍵「F12」就能查OTP驗證碼,顯見台灣公家機關的網站有漏洞。近日更有人在社群網站社團爆料,自己想預訂紙本時,才驚覺已遭他人數位綁定冒用,而且看來恐不只這一例👀
虹安長期以來,一直關心政府資安議題,我必須對此提出質疑:五倍券線上系統建置花費了九億公帑,到底花到哪去了?行政院推動數位化的立意良善,但在政策與相關服務上線時,資訊安全卻沒跟上,造成人民利益受損,這是哪門子的「有政府,會做事」?
別忘了,之前內政部一意孤行欲強推數位身分證,當時政府也是掛保證不會有洩露個資疑慮,事後證明,當時社會各界與資安專家的質疑有所本!
上週五教育部也爆發委外團隊誤刪高中生學習歷程檔案之離譜情事,這已不是單一事件,很明顯行政部門的資安與網站管理螺絲不只是鬆了,根本是掉滿地,需要做通盤檢討與反省🤦🤦
【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
昨日虹安很榮幸受邀參加 #台灣資安產業發展協會 第一屆成立大會暨會員大會。當天,立法院、經濟部、工研院、國防安全研究院、瑞典貿易暨投資委員會、芬蘭商務辦事處,以及眾多學界教授等先進與各產業界菁英出席共襄盛舉,現場眾星雲集 ✨
隨著5G 科技讓物聯網走向新紀元,AI人工智慧的日新月異,也意味著科幻電影中人類全自動化的生活方式已不再是夢;但同時在電影中,邪惡駭客組織攻占重要機關的主機系統,引發一連串資安問題,甚至危害社會國家安全的重大事件,也可能在現實生活中發生!
再加上台灣在全球半導體、製造業與高科技產業一直佔有舉足輕重的地位。近年來政府積極提倡科技翻轉產業,在協助產業導入人工智慧的同時,伴隨而來的資安威脅實在不可輕忽!
當前資安如同國安,從行政到立法,資訊安全是全面性的工作。今年初國發基金預計投資30億台幣在資安新創產業,這意謂著資安產業成長與起飛的重要時刻已來臨。
理事長洪睿荃在兩年前創立資安新創公司。創業過程中,他感受到資安產業並非是一人打天下獨來獨往的環境,更需要身處在資安產業的精英們彼此合作。睿荃表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為協會宗旨,以促進台灣資安產業高速發展為目標,將帶領理監事們投入「發展創新技術」、「培訓資安人才」、「促進新創交流」、「引領產業突破」四大方向來推動產業發展 👍🏻
為了促進台灣資訊安全產業的合作與發展,台灣資安產業發展協會由 30 多位國內眾多優秀資安公司創辦人與核心成員共同籌組。同時將積極和學界先進們合作,進行資安技術的研究與資安人才培育 👨🏻💻
在此非常恭喜ZUSO 如梭世代創辦人洪睿荃當選第一屆首任理事長,資策會資安鑄造廠總經理毛敬豪擔任副理事長與盧氪賽忒股份有限公司執行長沈家生擔任協會秘書長。希望協會在各界精英的共同努力下,將我們優秀的產品和服務,以台灣品牌走向國際,一同引領台灣資安產業在未來成為台灣的第二座護國神山!為台灣爭光!👏🏻
#感謝媒體報導 🙏
CTWant - 勒索軟體猖獗 30資安人串聯組協會抗敵
https://www.ctwant.com/article/141793
Newtalk - 引領資安產業成第二座護國神山 台灣資安產業發展協會今成立
https://newtalk.tw/news/view/2021-09-25/641702
三立「94要客訴」:中資入侵科學園區,護國神山群業務機密恐外洩?
昨天很榮幸獲三立新聞台邀請,上 #94要客訴 節目與主持人 #李正皓、立法委員 #林楚茵、新北市議員 #葉元之 以及資深媒體人 #汪潔民 一同關心東奧歡騰之下,發生在台灣的 #中資危機。
#護國神山 新竹科學園區 的物流居然已經被中資(科學城物流)掌控,資安與技術都陷入危機!
我在節目中指出,一個科學園區只有一個法定的保稅倉庫,是園區對外以及園區間輸送包含晶圓在內各項貨品的重要管道,竹科跟南科內的保稅倉庫,目前由 #科學城物流 集團一手包辦,提供保稅倉儲以及報關、物流服務。細究科學城物流的資金組成,在過去三四年間,經過多次購併移轉#新竹物流(原大股)跟華航的股權,現在港商 #嘉里控股 以及 中國國有企業 #順豐控股 握有科學城物流超過51.8%的股份!科學城物流成為中資背景,深入台灣高科技園區貨運經營,卻又受到國家專案保護優惠待遇。此事一曝光,讓整個竹科園區高度緊張,目前竹科管理局跟警察隊保防單位,都已經展開嚴密調查。
過去高科技產業不乏發生過洩密到中國、中資獵人頭,無孔不入的事件。現在此事已受到投審會、立院民進黨團高度重視。「科學城」原本只是一個本土資金為主的廠商,竟然在短短的4年間,因為運作股份的變化,有了令人震驚的轉變!這表示,中南海不僅可以透過海外的代理行動者掌控物流,更能因為握有報關權限,知悉具體的廠商機密與進出口數量,當局必須採取立即措施,斬斷紅頂中資入侵竹科。
#紅頂企業
#科學園區
#中資危機
#國安問題 高度重視
歐美又傳出重大的網路攻擊事件。名為「勒贖惡魔」的犯罪集團,藉著入侵IT業者網路引發連鎖反應,造成包括瑞典連鎖商店在內,至少200家業者面臨停擺。英國媒體引述資安專家的說法指出,勒贖集團張貼公告的網站,經常被講俄文的駭客使用,美國政府也不排除這起跨國網路勒贖,是來自俄羅斯的犯罪組織所策動。
詳細新聞內容請見【公視新聞網】 https://news.pts.org.tw/article/534053
-
由台灣公共電視新聞部製播,提供每日正確、即時的新聞內容及多元觀點。
■ 按讚【公視新聞網FB】https://www.facebook.com/pnnpts
■ 訂閱【公視新聞網IG】https://www.instagram.com/pts.news/
■ 追蹤【公視新聞網TG】https://t.me/PTS_TW_NEWS
#公視新聞 #即時新聞
-
看更多:
■【P sharp新聞實驗室】全媒體新聞實驗,提供新一代的新聞資訊服務。 (https://newslab.pts.org.tw)
■【PNN公視新聞議題中心】聚焦台灣土地環境、勞工司法、族群及平權等重要議題。 (https://pnn.pts.org.tw)
混合戰與認知戰是什麼?
首先,先說明混合戰和認知戰是什麼,這個名詞曾出現在 2019 年國防大學軍事共同教育中心上校教官黃柏欽發表於《國防雜誌》的〈戰爭新型態-『混合戰』衝擊與因應作為〉一文中。文章中提到,混合戰呈現當前資訊、科技時代的戰爭模式,運用混合與創新、不對稱的戰術、戰法,破壞目標國政經穩定與城市發展,攻擊新聞及言論自由弱點,造成受攻擊目標的挑戰。」而霍夫曼(Frank G. Hoffman)所著的《二十一世紀衝突:混合戰的興起》(Conflict in the 21st Century: the Rise of Hybrid Wars),對混合戰的定義如下:未來的對手更加聰明,並且鮮少將自己限縮在他們工具箱裡的單一工具。傳統的、不規則的和災難性的恐怖主義挑戰將不會是明確、清楚的樣態;他們都將以許多形式呈現。戰爭模式的模糊,誰參戰的模糊,以及使用什麼技術,產生廣泛多樣性與複雜性,稱之為混合戰。
而在國防安全研究院所發布的 2020 中共年報則指出,未來在灰色地帶衝突中,共軍戰略支援部隊將扮演重要角色,共軍網絡系統部效法俄羅斯對波羅地海國家遂行的資訊作戰模式,進一步運用體系融合與軍民融合,網路作戰自身單位與外圍團隊,結合心戰基地,推展運用網路戰搭配認知戰的混合戰。
因此我們可清楚明白,面對認知戰、混合戰,台灣所要應對的壓力有多巨大。
面對中國對台的資訊作戰
自上任以來,我就很關心中國對台的假消息作戰問題,特別是國安局的應對方式。去年 7 月國安局增列了「協調整合、部署執行對境外敵對勢力爭議訊息應處有關事項」這項工作職掌;調查局也成立了資安工作站,針對防範中國透過假訊息擾亂台灣社會民心、讓台灣社會產生懷疑民主制度的意義這些認知作戰行為,便需要檢視有加強整合假訊息情蒐的執行效果。
根據台灣民主實驗室去年 11 月發表的研究,其中有一項研究發現是:代理人積極參與了中國的資訊作戰。即使其中一些攻擊是由中國發起,但仍有許多代理人放大了這些攻擊。這些代理人扮演聯繫台灣當地製造者或散佈者與中共的中間人角色,使得資訊攻擊的發動者與實際製造或散佈者產生了脫勾的狀況。
中國分別在 2020 的台灣總統大選以及武漢肺炎爆發期間,發動一連串線上與線下的資訊攻擊。此報告依據攻擊者的資本和動機,將中國的資訊作戰者分成四種不同的類型,並根據其在模型中的位置,將其攻擊分為四個模式:外宣模式、粉紅模式、內容農場模式、與協力模式。其中,又以「內容農場模式」和「協力模式」所產生的傷害較前兩者來得大。
國安局對假訊息的工作成果
像是最近的鳳梨事件,中共說台灣出口給他們的鳳梨有蟲害,但台灣農委會請中共拿出證據來,他們也拿不出來,但他沒使用官方發聲、協同媒體、網路,四處抹黑栽贓,這就是一種很經典的認知戰,國安局長也相當認同這就是一種認知作戰。
而去年質詢國安局時,我也要求提供過去一整年的完整的報告,告訴我們已經查到了哪些?如何處理這些問題?未來又有哪些相關工作的規劃?我們應該是哪些部會、單位主責處理?今天我們有可能面臨醫療衛生方面的假訊息、也有可能像是現在的農業假訊息,這顯然是跨部會的問題。
國安局長回應說,兩岸事務的主管單位,最主要是陸委會,但也可能和政戰、軍事有關,所以也涉及國防部。
我知道國安局在去年有關假訊息的情蒐和研究有一些初步的結果,掌握了重大假訊息事件、散佈嚴重性和重要節點。那是不是有可能,創造一個跨部會整合的平台,來討論看看這個應該如何處理,可能部會互相支援,且一定要有一個專責的部門!處理橫向的聯絡與垂直的澄清,不分藍綠、部會,一起處理中共的認知作戰問題,面對認知戰的抹黑,可給出客觀的事實、科學的數字,快速澄清,避免認知戰的假訊息滲透台灣。
國安局長回應我,會提供這些清楚的資訊給相關部門。
我也再次提醒認知戰的重要性,「認知作戰」就是改變人的想法,且是用假的資訊去改變大眾的想法,讓你聽、看,但所見到的是他們想引導的錯誤資訊。境外敵對勢力透過這樣的做法,來分化破壞台灣的民主社會,世界上其他國家也開始領略這樣的痛苦。
此外,「溯源分析」很重要,需要了解背後的指揮單位,比方是武警、共青團等等。如此一來才可以找到關鍵人、斷其行為節點。
比方說,民主實驗室研究報告提到的「粉紅模式」,不同於中央發動的攻擊,是由地方性愛國人士或小粉紅製造訊息。雖然和中央無關,但是粉紅模式可能會和地方的民兵和武警有關。有許多武警會加入群組,甚至有教戰守則,包括低級黑、高級紅、反串等教程,有時候會在微博試水溫,再將訊息加以改製、放入粉絲頁或社團散佈,甚至自己經營粉專。這也顯示了中國會使用的資訊戰特色,也就是主導者是會是不同系統、不同單位,便會需要國安局能夠進一步分析出主導者是誰?
提出中國對台灣假訊息的行為模式預判的重要性在於,在能掌握來源後,甚至可以進一步看在某些重大事件發生時,比方一月底、二月初美國軍機在我西南空域活動,或者最近兩會期間,中國對台假訊息的發動者和發動方式,而可以提前截斷這些假訊息的發動,或者截斷其節點。
中共勢力協同在地的認知作戰,我和台灣基進一直都在抵禦頑抗的第一線,但我們永遠以抵禦這類欺侮為優先!置我個人名譽於度外。
台灣加油
2021-03-18,外交及國防委員會,國安局 陳明通局長。
===============================
【烏日服務處】
地址|臺中市烏日區中山路一段525號
電話|(04)2337-7383
服務時間|週一至週五 9:00-18:00
【沙鹿服務處】
地址|台中市沙鹿區中山路537號
電話|(04)2662-0913
服務時間|週一至週五 9:00-18:00
【霧峰服務處】
地址|台中市霧峰區文化巷57號
電話|(04)2330-5663
服務時間|週一至週五 9:00-18:00
【大肚服務處】
地址|台中市大肚區自由路148號
電話|(04)2699-8903
服務時間|週一至週五 9:00-18:00
【龍井服務處】
地址|台中市龍井區中央路三段169號
電話|(04)2639-1163
服務時間|週一至週五 9:00-18:00
【龍井新庄聯絡處】
地址|434-006 台中市龍井區新庄街一段138號
電話|0917-191-058
【免費法律諮詢服務】 (需事前預約)
烏日─每周四 19:00-21:00
沙鹿─每週三 09:30-12:00、每周五 19:00-21:00
大肚─每週二 19:00-21:00
龍井─每週三 19:00-21:00
霧峰─每週五 19:00-21:00
【免費長照 2.0 諮詢服務】 (需事前預約)
烏日─每週三 16:00-18:00
沙鹿─每週二 16:00-18:00
大肚─每週二 19:00-21:00
【3Q聽你說 委員服務時間】 (需事前預約)
大肚─週二 19:00-21:00(每月二、四週委員時間)
龍井─週三 19:00-21:00(每月一、三週委員時間)
烏日─週四 19:00-21:00(每週委員時間)
沙鹿─週五 19:00-21:00(每月一、三週委員時間)
霧峰─週五 19:00-21:00(每月二、四週委員時間)
#3Q陳柏惟 #中二立委 #台灣基進
===============================
◆ 訂閱3Q的Youtube → https://www.youtube.com/c/3QChen
◆ 追蹤3Q的FB → https://www.facebook.com/3Q.PehUi/
◆ 訂閱3Q的Podcast → 3Q陳柏惟
◆ 追蹤3Q的IG → wondachen
◆ 追蹤3Q的噗浪 → wondachen
◆ 追蹤3Q的推特 → @3QTan
===============================
◆ 台灣基進官網 → https://statebuilding.tw/
◆ 訂閱台灣基進官方Youtube → https://pros.is/L8GNN
◆ 追蹤台灣基進官方臉書 → https://www.facebook.com/Statebuilding.tw/
◆ 捐款支持台灣基進 → https://statebuilding.tw/#support
找台灣重大資安事件在Dcard與PTT討論/評價與推薦,提供2021資安事件,資安議題,台灣重大資安事件相關資訊,找台灣重大資安事件就在追蹤網紅動態,熱門網紅排名, ... ... <看更多>
找台灣重大資安事件在Dcard與PTT討論/評價與推薦,提供2021資安事件,資安議題,台灣重大資安事件相關資訊,找台灣重大資安事件就在追蹤網紅動態,熱門網紅排名, ... ... <看更多>
台灣資安事件 在 TWCERT/CC 三大資安通報流程,保護企業安全 的推薦與評價
TWCERT/CC提供三大 資安 通報1、 資安事件 通報✍ 2、網路釣魚通報 3、漏洞揭露通報 協助防護您的企業安全 | By 台灣 電腦網路危機處理暨協調 ... ... <看更多>