104、1111都曾遭駭！資安議題浮上檯面，駭客為何專挑求職網下手？

編按：近期104人力銀行遭駭客入侵一事引發熱烈討論，事實上，過去幾年間另一家求職網1111也曾遭駭客攻擊。求職網站有大量珍貴的個資，如今發現資安漏洞，求職者將面臨哪些風險？

中秋連假前夕傳出104人力銀行遭中國駭客入侵的消息，高達592萬筆個資盜走，並放在暗網上交易，以500或1000美元（約1.45萬~2.9萬台幣）出售牟利。104人力銀行在10月4日晚間發表聲明證實遭駭，並指出駭客公開的35筆資料都是2013年的舊資料，目前已主動向調查局報案。

無獨有偶，另一家人力銀行1111昨（5）日也被PTT網友爆料335萬筆求職者資料放在暗網求售，而稍早1111官方發聲明給會員，強調是9年前的舊案，目前都已全面提升資安的維護，為保障企業及會員權益，已向保險公司投保第三人責任險，1111董事會也撥出新台幣2億元成立賠償基金，確保會員權益。

104 遭駭，全台約過半求職者遭殃

104被盜取的資料包括求職者的身份證號、出生年月日、電子郵箱、手機號碼、家庭住址等敏感個資，依據行政院主計處我國就業人口統計1,150萬7千人計算，等於有近過半的求職者個資遭外洩。104人力銀行坦言是昨日一早看了媒體報導才知被駭，事後經初步了解，外洩的資料為2013年舊資料，並表示會持續強化資安建設，保護使用者個資安全，但官方初步僅提供客服專線，來解決求職者的個資疑慮。

像104這樣的大型求職網，過去在資安防禦上並不馬虎，佈建包括源碼檢測、弱點掃描、滲透測試、資料遺失偵測、端點攻擊防禦、入侵偵測防禦、日誌分析、網路與網站應用程式防火牆等，管理層面則通過 ISO 27001資訊安全管理、BS 10012個人資訊管理制度驗證。看似面面俱到，卻也逃不過駭客攻擊。

1111人力銀行則在昨（5）日傳出會員個資被放在中國暗網交易論壇販售，包括身份證字號、姓名、性別、身高、體重、電話、手機、郵箱、住址、畢業學校、專業、個人簡歷，強調資料相當詳細、非常新，且一件售價達1000美元。不過這並非1111首次遇駭，去年也爆出20萬筆使用者資料放在國外網站「突襲論壇」（RaidForums）兜售，再再顯示求職網站資安破了大洞。

專家提醒：非求職期間應刪除資料避險

針對求職網個資外洩一事，安侯建業聯合會計師事務所（KPMG）從爆發的時間點、駭客動機、影響面做了分析。

中國駭客入侵的時間點選在中秋假期前夕，KPMG分析，每逢台灣的連續假期或颱風假，都是駭客集團攻擊的「好日子」，主要是假期中資訊人員及系統維護廠商人力配置較少。

而且在駭客眼中，求職資料含金量高，包括通聯資訊等當事人完整個資，KPMG數位科技安全服務負責人謝昀澤執行副總經理分析，特別是在中美貿易大戰期間，台灣高科技人才的資料庫，已成為全球企業垂涎的目標，兩岸的挖角動作時有所聞。

KPMG也分析企業網路遭侵入的常見原因，包含Web系統設計的缺陷、網路防禦機制的漏洞、委外廠商所留的漏洞或後門，或系統管理者帳號遭奪權等問題。特別是擁有大量個資的網路服務業，應在假期前針對上述各項資安熱點進行超前部署，以防相關事故再度發生，一旦發現個資洩露的跡象，應依照《個人資料保護法》在查明後通知當事人，以降低事故衝擊。

從求職網遭駭事件來看，KPMG數位科技安全服務經理林軒宇坦言，大多數的公司過去針對人事資料的保護更嫌不足， 若是把人事招募業務委託其他公司辦理，都要定期評估企業本身與合作廠商的個資、資安管理能力，甚至針對委外廠商定期進行資安評估或實地稽核，才能完整強化公司重要人才的隱私保護 。

專家也提醒，接下來詐騙集團可能會利用外洩的個資，以電郵、電話或社群媒體的方式進行詐騙，提醒民眾近來要提高警覺；另外，使用者在非求職期間，可考慮要求人力銀行業者將求職個資依法刪除，降低自身個資被洩漏的風險。

延伸閱讀 /
視訊會議軟體Zoom爆資安漏洞，蘋果出手更新刪除問題程式
Google攜合作夥伴推動「漏洞修補計畫」，讓Android手機更安全、加速補強破口

（本文出自數位時代）