領導帶人 經營管理 行銷業務 工作術 自我管理 專題 近期活動
追蹤我們
時事話題

104、1111都曾遭駭!資安議題浮上檯面,駭客為何專挑求職網下手?

mdi-eye-outline 6,742

編按:近期104人力銀行遭駭客入侵一事引發熱烈討論,事實上,過去幾年間另一家求職網1111也曾遭駭客攻擊。求職網站有大量珍貴的個資,如今發現資安漏洞,求職者將面臨哪些風險?

中秋連假前夕傳出104人力銀行遭中國駭客入侵的消息,高達592萬筆個資盜走,並放在暗網上交易,以500或1000美元(約1.45萬~2.9萬台幣)出售牟利。104人力銀行在10月4日晚間發表聲明證實遭駭,並指出駭客公開的35筆資料都是2013年的舊資料,目前已主動向調查局報案。

無獨有偶,另一家人力銀行1111昨(5)日也被PTT網友爆料335萬筆求職者資料放在暗網求售,而稍早1111官方發聲明給會員,強調是9年前的舊案,目前都已全面提升資安的維護,為保障企業及會員權益,已向保險公司投保第三人責任險,1111董事會也撥出新台幣2億元成立賠償基金,確保會員權益。

104 遭駭,全台約過半求職者遭殃

104被盜取的資料包括求職者的身份證號、出生年月日、電子郵箱、手機號碼、家庭住址等敏感個資,依據行政院主計處我國就業人口統計1,150萬7千人計算,等於有近過半的求職者個資遭外洩。104人力銀行坦言是昨日一早看了媒體報導才知被駭,事後經初步了解,外洩的資料為2013年舊資料,並表示會持續強化資安建設,保護使用者個資安全,但官方初步僅提供客服專線,來解決求職者的個資疑慮。

104 針對駭客事件發表聲明。

像104這樣的大型求職網,過去在資安防禦上並不馬虎,佈建包括源碼檢測、弱點掃描、滲透測試、資料遺失偵測、端點攻擊防禦、入侵偵測防禦、日誌分析、網路與網站應用程式防火牆等,管理層面則通過 ISO 27001資訊安全管理、BS 10012個人資訊管理制度驗證。看似面面俱到,卻也逃不過駭客攻擊。

1111人力銀行則在昨(5)日傳出會員個資被放在中國暗網交易論壇販售,包括身份證字號、姓名、性別、身高、體重、電話、手機、郵箱、住址、畢業學校、專業、個人簡歷,強調資料相當詳細、非常新,且一件售價達1000美元。不過這並非1111首次遇駭,去年也爆出20萬筆使用者資料放在國外網站「突襲論壇」(RaidForums)兜售,再再顯示求職網站資安破了大洞。

專家提醒:非求職期間應刪除資料避險

針對求職網個資外洩一事,安侯建業聯合會計師事務所(KPMG)從爆發的時間點、駭客動機、影響面做了分析。

中國駭客入侵的時間點選在中秋假期前夕,KPMG分析,每逢台灣的連續假期或颱風假,都是駭客集團攻擊的「好日子」,主要是假期中資訊人員及系統維護廠商人力配置較少。

而且在駭客眼中,求職資料含金量高,包括通聯資訊等當事人完整個資,KPMG數位科技安全服務負責人謝昀澤執行副總經理分析,特別是在中美貿易大戰期間,台灣高科技人才的資料庫,已成為全球企業垂涎的目標,兩岸的挖角動作時有所聞。

KPMG也分析企業網路遭侵入的常見原因,包含Web系統設計的缺陷、網路防禦機制的漏洞、委外廠商所留的漏洞或後門,或系統管理者帳號遭奪權等問題。特別是擁有大量個資的網路服務業,應在假期前針對上述各項資安熱點進行超前部署,以防相關事故再度發生,一旦發現個資洩露的跡象,應依照《個人資料保護法》在查明後通知當事人,以降低事故衝擊。

從求職網遭駭事件來看,KPMG數位科技安全服務經理林軒宇坦言,大多數的公司過去針對人事資料的保護更嫌不足, 若是把人事招募業務委託其他公司辦理,都要定期評估企業本身與合作廠商的個資、資安管理能力,甚至針對委外廠商定期進行資安評估或實地稽核,才能完整強化公司重要人才的隱私保護 。

專家也提醒,接下來詐騙集團可能會利用外洩的個資,以電郵、電話或社群媒體的方式進行詐騙,提醒民眾近來要提高警覺;另外,使用者在非求職期間,可考慮要求人力銀行業者將求職個資依法刪除,降低自身個資被洩漏的風險。

延伸閱讀 /
視訊會議軟體Zoom爆資安漏洞,蘋果出手更新刪除問題程式
Google攜合作夥伴推動「漏洞修補計畫」,讓Android手機更安全、加速補強破口

(本文出自數位時代

mdi-tag-outline 時事觀點
延伸閱讀
加入經理人LINE好友