https://www.ithome.com.tw/news/146376
國內爆發愛心協會大規模捐款個資外洩,影響機構恐破200間,關鍵資訊服務商
網軟遭駭仍在調查中
自7月底,警方接獲大量民眾通報,有冒名多個捐款協會的詐騙案。為何會發生
此事?警方日前已指出這些慈善愛心協會均委託同一資訊系統商,由於傳出遇害
機構可能多達2百家,根據我們循線追蹤,發現與提供非營利組織捐款系統的網
軟有關,該公司在8月向其客戶通知遭駭客攻擊,並呼籲機構通知捐款人小心詐
騙。
按讚加入iThome粉絲團
文/羅正漢 | 2021-08-25發表
最近,臺灣爆發多起愛心捐款協會因個資外洩引發詐騙案件,刑事警察局指出,
至8月16日止,已有至少35個愛心協會,因委託同一資訊服務商遭遇此事,受害
規模比月初更擴大。而這家也是苦主之一的關鍵廠商,經我們追查,就是負責提
供捐款系統公司的網軟科技(intersoft)。
面對這次的網路攻擊事件,該公司坦言,已委請資安業者協助,清查並強化資安
,執法機關也在持續調查,同時他們也持續通知客戶,也就是通知相關愛心協會
,將遭駭客攻擊一事告知其客戶,同時,請這些愛心機構向捐款民眾示警,呼籲
大家要小心不斷翻新的ATM相關詐騙話術,並注意信用卡盜刷問題。
警方調查出現大量冒名多個愛心協會的詐騙,對方已掌握詳細捐款資訊
在8月5日,刑事警察局發出詐騙活動的預警,引發全國關注。因為在7月26日到8
月1日這一週內,165反詐騙專線統計受理的解除分期付款詐騙案中,有27件的通
報對象,竟然不是長年名列其中的電商平臺,而是民眾做愛心的慈善捐款協會遭
到冒名,警方並指出,詐騙方掌握了捐款人姓名、電話、捐款金額等資料,藉此
取信被害人。
當時遭到冒名的慈善機構有6家,刑事警察局股長洪國倫表示,這些愛心協會都
委託同一資訊服務商,因此,他們的研發科,以及相關的系統廠商仍在調查與釐
清相關資訊。而到了8月16日,我們聯繫警方,請他們提供最新統計數據,此時
,冒名愛心協會的詐騙已經增至35家以上。
這樣的大規模愛心協會資料外洩狀況,我們在網路上也看到相關討論。例如,有
網友在社群網站Plurk當中指出,相關機構的資訊服務商是網軟,他們有200多家
基金會客戶,因此,整體的資料外洩情形可能比之前曝光的更嚴重;而我們也看
了很多機構的社群網站,也發現網軟的相關消息,例如,「迦南身心障礙養護院
」的臉書粉絲專頁上,張貼了來自網軟公司的資安事件通知。當我們查詢網軟這
家公司時,恰巧,他們在官方網站上也有公布刑事警察局的防詐騙宣導。因此,
我們聯繫網軟,以確認此資安事件的狀況,也了解他們在這起事件面臨的問題,
以及造成的影響。
影響家數尚未有確切資訊,近期網軟向這些愛心協會通知其資安事件因應措施
其實,網軟是提供非營利組織(NPO)資訊服務的業者,包含捐款管理系統、線
上金流整合、會員與志工管理系統等。
而網軟發生的這起資料外洩事件,的確與上述許多慈善機構捐款個資外洩有極大
關連。但是,我們在網軟官方網站上,並未看到他們發布伺服器遭駭或資料外洩
相關事件的公告,因此難以得知,到底有多少家愛心協會受影響?以及是否有調
查結果?
對於近期多家愛心協會遭遇資料外洩,以及網軟向其客戶通知資安事件一事,經
我們向網軟詢問後,他們表示,已委請資安廠商協助清查網路攻擊,並檢視現有
的基礎架構,強化網路安全與資料安全,法務部調查局也提供協助,同時他們也
配合主管機關調查。網軟表示,將等調查結果出爐,再一併說明。換言之,他們
目前並無法提供確切資訊。
因此,這次資安事件的入侵方式也還沒有具體答案,不確定是網路攻擊者直接入
侵網軟,或是入侵某一基金會後再入侵捐款系統。
特別的是,由於我們在網路上已看到,兩封由網軟寄送給愛心協會的通知郵件內
容,因此我們也向網軟確認其真實性。網軟表示,這些內容確實都是他們寄給愛
心協會的通知信,告知已遭駭客攻擊與相關因應。
在網軟對愛心協會的通知郵件中,顯示該公司在8月初已告知客戶(相關愛心協
會)網軟捐款系統遭駭客攻擊,並提到已封鎖可疑IP位址,限制具風險性的功能
。
而另一封網軟的通知信中,則在8月中旬說明了這次資安事件的應變現況。
例如,除了尋求資安業者提供顧問服務,他們也委請資策會資安科技研究所協助
主機相關設定,並建置即時監控系統,偵測網路異常與告警機制;並提到該公司
已強化捐款系統的用戶帳號登入安全。包括採取限定IP位址登入,並增加圖形認
證與雙因素驗證,以避免外部人員竊取帳號密碼入侵。此外,網軟也提及將持續
進行機敏資料加密。
而網軟也向我們說明,過去有些用戶可能設定長度不足又簡單的弱密碼,因此他
們現在也提醒用戶,要注意密碼設定問題,而網軟也在系統上新增了雙因素驗證
機制,讓用戶可搭配簡訊OTP來驗證,強化系統登入安全。
從上述這些資安強化內容來看,網軟系統在基礎資安防護上,似乎過去仍有一些
不足之處,例如系統登入相當缺乏安全防護機制。儘管該業者主要服務的對象是
非營利組織,但攻擊者顯然並未因此放過他們,而這樣的資安事件,不僅是對於
其他慈善組織,以及這類型的資訊服務商,都是一個警惕,也突顯任何使用資訊
與IT技術的各類型企業與組織,都需要同時考量到資安。
另外,由於網軟至今並未對外公告發生資安事件,因此這次資安事件的影響範圍
,仍令外界感到憂心。是否只有捐款系統發生資料外洩情況?畢竟,我們從該公
司網站公開的案例,可以看到他們的客戶,不只是多個愛心協會,像是在線上金
流整合服務中,屏東縣政府也是其客戶,因此,是否各產品服務的所有客戶,都
受此次資安事件影響,遭遇資料外洩情形,勢必也都要有所清查。
https://imgur.com/HAheJ2l
在網軟官方網站上,已在8月3日發布刑事警察局的反詐騙宣導,但至今還沒有對
外公布遭駭客攻擊與資料外洩的資安事件。
https://imgur.com/Mnjsmhg
https://imgur.com/OoD5GBM
https://imgur.com/yUj1rnF
https://imgur.com/ihbVvqQ
近期已有許多愛心機構緊急發布反詐騙宣導,少數機構則說明是社福組織使用的
捐款系統廠商遭駭,而在「迦南身心障礙養護院的臉書粉絲專頁」上,傳達了他
們接獲網軟公司的資安事件通知,當中指出要他們提醒捐款人小心詐騙,並說明
該公司現有的資安事件應變措施。(圖片來源:擷取自各愛心協會臉書粉絲專頁
)
對於相關愛心協會的捐款民眾而言,當心假冒其名義的詐騙,並注意信用卡盜刷
風險
另一方面,為了因應捐款資料外洩可能衍生的風險,包括ATM相關詐騙與信用卡
盜刷,網軟也向相關愛心協會發布通知,請他們務必通知捐款人注意。
對於使用信用卡捐款的民眾,需注意盜刷風險。雖然海外盜刷方面其實收單銀行
自行就可能偵測到並阻擋,但民眾自身還是要留意不明刷卡記錄,一旦發現,應
儘速向銀行反應,通常待銀行查證屬實後,消費者無須負擔被盜刷的費用。網軟
指出,銀行端會幫助留意盜刷之外,但從目前詐騙現況來看,最不容易被追回詐
騙款項的管道,還是ATM操作,還有臨櫃匯款或網路銀行轉帳。因此他們也呼籲
相關愛心協會需儘速向捐款人通知,而網軟也會協助機構發送防詐騙簡訊與電子
郵件。
還要注意的是,詐騙集團會不斷翻新詐騙話術,也會改趁民眾無法確認的時間來
詐騙。例如,網軟表示,近期詐騙集團假冒愛心協會客服人員,就開始利用愛心
協會遭駭的消息,再向捐款人騙稱需核對個資與信用卡資料,進而騙取相關資訊
;另外,近期國內媒體揭露鎮瀾兒童家園均款人遭詐騙,也運用新的手法:詐騙
集團利用協會下班時間,趁著晚上打給捐款人。
對於各愛心協會的因應情形,網軟也提到相關現況。基本上,大多數協會都很積
極通知捐款人,因為這些協會可能已經接獲相當多起民眾詢問。不過他們提醒,
詐騙集團可能一波一波發動詐騙,因此要持續提醒民眾。
但也有愛心協會仍害怕向民眾宣導,因為這樣可能讓民眾變得不敢捐款。然而,
捐款個資外洩情形已經發生,坦然面對更重要。畢竟,已有受害機構工作人員表
示,許多捐款民眾通報接到冒用機構名義來電的詐騙,且對方能夠說出捐款日期
、捐款者姓名或名義,以及捐款方式等。若捐款民眾不知道狀況,帶來的衝擊與
影響其實是更大。
https://imgur.com/vOwTTjR
https://imgur.com/p3ReXf5
在8月初,刑事警察局發出詐騙活動的預警,引發高度關注,因為165反詐騙專線
受理的解除分期付款詐騙案中,有27件的通報對象竟然是民眾做愛心的慈善捐款
協會遭到冒名,警方並指出,詐騙方掌握了捐款人姓名、電話、捐款金額等資料
,藉此取信被害人。最初民眾通報的對象,包括「台灣樂作創益協會」、「中華
育幼機構兒童關懷協會」、「弘化同心共濟會」、「臺灣防盲基金會」、「中華
民國兒童癌症基金會」,以及「愛盲基金會」等。接下來,月初出現多起通報的
還有「育成社會福利基金會」、「第一社會福利基金會」、「沐風關懷協會」、
「微客公益行動協會」與「導盲犬協會」,到了8月中旬(至16日止),警方統
計,已經多達35家假冒這類的愛心慈善協會的詐騙,當時接獲超過120件民眾報
案,財損更是超過1600萬元。後續,國內媒體報導相關詐騙案的還有,假冒「大
甲鎮瀾兒童家園」、「花蓮黎明教養院」、「迦南身心障礙養護院」、「聯合勸
募」等。
【8月26日更新資訊】
儘管網軟透露有限,是否還有更多可供外界參考的資訊?由於「迦南身心障礙養
護院」的臉書粉絲專頁有揭露網軟發出的資安事件通知,因此,我們也進一步瞭
解情況。該機構表示,迦南本身是在7月28日開始接到捐款者詢問的電話,得知
有冒名詐騙的情況,且對方掌握民眾的捐款資訊,因此,迦南在7月29日向網軟
反應問題。7月30日,網軟回應表示可能是迦南的內網不安全。
顯然,網軟在7月底一開始還沒有意識到問題。到了8月2日,網軟則聯繫迦南,
表示要幫忙寄送防詐騙宣導簡訊,然後8月3日向他們表示遭駭客入侵。這段期間
,應該是刑事警察局已經接獲大量愛心協會詐騙案,聯繫網軟後才有接下來的應
變。之後,網軟每隔幾天開始向協會發出通知信,說明當前狀況及因應措施。
除此之外,不具名資安專家表示,從網軟與NPO客戶信件往來的內容,推測該公
司的服務可能被上傳惡意程式,也就是基本的上傳漏洞(File Upload),使得
攻擊者可以控制伺服器或撈取資料庫原始碼等。不過,這是從有限資訊中的側面
推測,詳情還是要等刑事警察局或網軟來說明。
https://imgur.com/F1NokMU
這起事件持續危害持續擴大,在8月26日,國民黨立委林奕華與民進黨立委邱泰
源聯合多個社福團體召開「公益有愛 避免受害」記者會,包括「中華民國兒童
癌症基金會」、「中華民國心臟病兒童基金會」、「瑞信兒童醫療基金會」與「
台大兒童健康基金會」出席,共同呼籲捐款人留意詐騙訊息勿上當。林奕華也表
示,這次記者會其實有邀請該資訊業者,但很遺憾他們並未出席說明。(圖片來
源:擷取自立法委員林奕華臉書直播影片)
-
萬騙不離ATM,大家自己小心多注意...
165 的被冒名排行榜已經好幾個星期有各個協會了
https://165.npa.gov.tw/#/articles/risk