台北市资讯局在9日获警局通报员工薪资资料外泄后,紧急在10分钟关闭薪资发放管理系统展开调查,但外泄事件隔天引起媒体大篇幅报导,纷纷担心7万员工薪资资料都曝光,资讯局在11日上午对外召开记者会说明事件始末,因为15年老系统的设计盲点,导致搜寻工具取得报表下载网址而酿灾,资讯局也澄清,只有190笔报表连结外泄,而非媒体披露的全北市员工规模。为何这个15年前开发的薪资发放管理旧系统,不敌现在化搜寻工具技术的演进呢?我们特别专访台北市资讯局局长李维斌,深入剖析这起事件的发生关键,及台北市资讯局后续的资安对策。
外泄190笔北市府薪资报笔连结,免登入就可下载报表内容
台北市政府的“薪资发放管理系统”是由资讯局自行开发设计和维护的系统,主要是台供台北市政府136个机关、252个学校以及台北市议会总共389各单位使用,主要是由出纳人员负责薪资发放、考绩、年终奖金以及其他账款发放的业务。也因为牵涉范围包含全部台北市政府正职和约聘以及公立学校的人员,媒体报导薪资资料外泄时,也引起一阵恐慌。
李维斌表示,在1月9日资讯局接获通报知道有疑似资料外泄事件后,先将薪资发放管理系统紧急下线,后来再观察的确没有其他资料陆续外泄后,暂时确认有找对资料外泄的源头。
他说,资讯局便在1月10日紧急通报资通安全会报,当初因为以为只有内湖分局的资料外泄,认为是特例,所以初步判定唯一、二级的资安事件,只不过,后来进一步追查发现,除了内湖分局外,还有像是工务局等单位薪资资料外泄;而外泄资料除了薪资、奖金、员工薪转账户外,也可以看到有一些是身份证字号。因为有牵涉个资外泄,资安会报建议将资安等级提高为三级。台北市资讯局并于1月11日上午召开记者会对外说明。
从雅虎引擎搜寻页面上发现的受骇单位其实不少,目前从搜索引擎的网页暂存快取页面可以发现,受骇单位包括:台北市建管处、中山堂管理所、台北市公务人员训练处、台北市内湖区公所、台北市文山区健康服务中心、台北市政府交通局、台北市政府地政局等单位,都可以查到不同月份的员工薪津清册。
到底外泄的资料是什么?李维斌指出,目前台北市资讯局调查的结果,大约有190笔的薪资报表的连结外泄,不过每笔报表的受影响人数并不确定,但可以确定的是,台北市府员工的薪资数据库并没有外泄。
李维斌进一步解释,这些外泄的资料其实是由出纳人员制作的当月薪资报表,以往只有各单位特定人员,有权连上这个放在DMZ区的薪资发放管理系统,输入账号密码后,可以调阅内网员工薪资资料做成当月薪资报表后,报表完成会就会产生一个报表连结,有这个报表连结的人就可以下载该份薪资报告。
他也说,以往资讯局把有这个报表连结的人,视为是内部人士才可能有这个连结,所以,以前是有连结的人,可以直接下载该档案,“这是一个内部系统存取权限设定错误的案例,才会造成此次薪资报表连结外泄的资安事件。”他进一步解释,这是一种所谓的商业逻辑错误(Business Logic Fault),是一种作业流程或程式逻辑出现的错误,目前用工具的弱点扫描(Vulnerability Assessment )并无法检测出这类的漏洞,依赖人工的渗透测试(Penetration Test)才比较有机会找到这类的弱点,但往往需要长时间、高频率的检测,也高度仰赖渗透测试工程师的功力,难度相当高。
薪资管理系统老旧难躲搜寻高效能,强制下载档案需再输入账号密码
台北市资讯局也进一步调查发现,该分外泄的薪资报表连结只有在雅虎搜索引擎上才找得到,其他包括Google搜寻以及百度搜寻都查不到相关资料。据推测,极有可能是有权制作薪资报表人员的电脑不慎安装雅虎搜寻的工具列,因为这些工具列会记录个人的浏览记录,而雅虎将个人浏览记录与公开搜寻结果混在一起,才造成一般人可以透过雅虎搜索引擎,找到台北市政府部分局处的员工薪资报表连结并下载。
“台北市薪资管理系统是15年前打造的系统,当年使用ASP开发,为了便利各机关使用,也把系统放在DMZ区,各机关登上这个系统就可以开始制作报表。”李维斌表示,这个系统非常老旧,15年来都只能编列维护费用,当初因为VPN太难使用,也没有采用VPN连网存取的设计,但随着搜寻技术的进步,即便资讯局已经在robots.txt的语法中写“disallow all”限制搜索引擎的爬虫,不要将该内部系统做搜寻结果的目录索引,但事实证明,仍很难避免地让该系统曝露在可以被部分搜索引擎搜寻到的风险中。
李维斌表示,第一时间将薪资发放管理系统下线后,为了确保资料安全,再度上线时,则多了一到存取权限控管,即便有了报表连结,若要下载该份资料时,必须再度输入账号密码后才能下载。此外,从目前网络上都连不上这个薪资管理发放系统来看,资安专家表示,北市府资讯局在网络防护上也做了紧急处置,从防火墙先档下所有外部存取的连线,未来将可以统计机关IP再行开放。
北市府将陆续汰换老旧资讯系统,强化市府资讯安全
李维斌表示,不只是薪资发放管理系统老旧,迄今已经上线15年,许多早期的系统架构加上没有纳入资安考量,许多老旧系统都是市府资安的未爆弹,不知道什么时候又可能再度发生类似的资安事件。
但他也说,依照台北市政府的状况,已经无法只是维修老旧系统,扫除这些资安地雷,所以,今年资讯局已经比去年多编列大概6千万元的预算,希望逐步汰换一些已经是高风险的老旧系统。李维斌表示,台北市议会已经通过资讯局预算,今年比去年新增2,314万元,资讯局确认优先汰换老旧的薪资发放管理系统,其他预计汰换的系统还包括2005年打造的台北市单一登入的入口网等。
除了资讯局逐步汰换老旧系统换,资安专家认为,目前市府已经限制从外部网络连上薪资系统(orgsalary.taipei.gov.tw),不论是设白名单、限制特定IP存取,或者是先暂时从防火墙断所有外网连线都是有效损害控管的方式,但是若要进一步确认这些薪资档案遭到多少人下载成功,要可以查看薪资网站的日志记录,查看只要有连到该网站的外部IP,而且有下载相关文件成功的纪录,可以试图从Log记录分析这些薪资报表资料的外泄程度。
资安专家表示,北市府遇到的资安事件其实是常见的Google Hacking手法,利用搜索引擎找寻系统的漏洞手法,主要是有很多的网页程式写法不够安全,也可能是知道内部网址,搜寻到网站的目录或档案等资料,甚至可能找到管理者或服务器的账号密码等,也会找到一些网站设定档,透过这些资料的分析拼图,就可以入侵某个网站的服务器。
因此,资安专家建议,要避免内部系统被网络爬虫(Web Crawler)爬走,必须要设置相对应的安全措施与授权方式,如果这个提供内部使用的系统网站必须和提供外部服务的网站放在同一台服务器上,也必须设定严格的存取控制权限(ACL),只允许白名单的来源存取相关资源。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09