国内爆发爱心协会大规模捐款个资外泄，影响机构恐破200间，关键资讯服务商网软遭骇仍在调查中

最近，台湾爆发多起爱心捐款协会因个资外泄引发诈骗案件，刑事警察局指出，至8月16日止，已有至少35个爱心协会，因委托同一资讯服务商遭遇此事，受害规模比月初更扩大，而这家也是苦主之一的关键厂商，就是负责提供捐款系统公司的网软科技（intersoft）。

面对这次的网络攻击事件，该公司坦言，已委请资安业者协助，清查并强化资安，执法机关也在持续调查，同时他们也持续通知客户，也就是通知相关爱心协会，将遭骇客攻击一事告知其客户，同时，请这些爱心机构向捐款民众示警，呼吁大家要小心不断翻新的ATM相关诈骗话术，并注意信用卡盗刷问题。

警方调查出现大量冒名多个爱心协会的诈骗，对方已掌握详细捐款资讯

在8月5日，刑事警察局发出诈骗活动的预警，引发全国关注。因为在7月26日到8月1日这一周内，165反诈骗专线统计受理的解除分期付款诈骗案中，有27件的通报对象，竟然不是长年名列其中的电商平台，而是民众做爱心的慈善捐款协会遭到冒名，警方并指出，诈骗方掌握了捐款人姓名、电话、捐款金额等资料，借此取信被害人。

当时遭到冒名的慈善机构有6家，刑事警察局股长洪国伦表示，这些爱心协会都委托同一资讯服务商，因此，他们的研发科，以及相关的系统厂商仍在调查与厘清相关资讯。而到了8月16日，我们联系警方，请他们提供最新统计数据，此时，冒名爱心协会的诈骗已经增至35家以上。

这样的大规模爱心协会资料外泄状况，我们在网络上也看到相关讨论。例如，有网友在社群网站Plurk当中指出，相关机构的资讯服务商是网软，他们有200多家基金会客户，因此，整体的资料外泄情形可能比之前曝光的更严重；而我们也看了很多机构的社群网站，也发现网软的相关消息，例如，“迦南身心障碍养护院”的脸书粉丝专页上，张贴了来自网软公司的资安事件通知。当我们查询网软这家公司时，恰巧，他们在官方网站上也有公布刑事警察局的防诈骗宣导。因此，我们联系网软，以确认此资安事件的状况，也了解他们在这起事件面临的问题，以及造成的影响。

影响家数尚未有确切资讯，近期网软向这些爱心协会通知其资安事件因应措施

其实，网软是提供非营利组织（NPO）资讯服务的业者，包含捐款管理系统、线上金流整合、会员与志工管理系统等。

而网软发生的这起资料外泄事件，的确与上述许多慈善机构捐款个资外泄有极大关连。但是，我们在网软官方网站上，并未看到他们发布服务器遭骇或资料外泄相关事件的公告，因此难以得知，到底有多少家爱心协会受影响？以及是否有调查结果？

对于近期多家爱心协会遭遇资料外泄，以及网软向其客户通知资安事件一事，经我们向网软询问后，他们表示，已委请资安厂商协助清查网络攻击，并检视现有的基础架构，强化网络安全与资料安全，法务部调查局也提供协助，同时他们也配合主管机关调查。网软表示，将等调查结果出炉，再一并说明。换言之，他们目前并无法提供确切资讯。

因此，这次资安事件的入侵方式也还没有具体答案，不确定是网络攻击者直接入侵网软，或是入侵某一基金会后再入侵捐款系统。

特别的是，由于我们在网络上已看到，两封由网软寄送给爱心协会的通知邮件内容，因此我们也向网软确认其真实性。网软表示，这些内容确实都是他们寄给爱心协会的通知信，告知已遭骇客攻击与相关因应。

在网软对爱心协会的通知邮件中，显示该公司在8月初已告知客户（相关爱心协会）网软捐款系统遭骇客攻击，并提到已封锁可疑IP地址，限制具风险性的功能。

而另一封网软的通知信中，则在8月中旬说明了这次资安事件的应变现况。

例如，除了寻求资安业者提供顾问服务，他们也委请资策会资安科技研究所协助主机相关设定，并建置即时监控系统，侦测网络异常与告警机制；并提到该公司已强化捐款系统的用户账号登入安全。包括采取限定IP地址登入，并增加图形认证与双因素验证，以避免外部人员窃取账号密码入侵。此外，网软也提及将持续进行机敏资料加密。

而网软也向我们说明，过去有些用户可能设定长度不足又简单的弱密码，因此他们现在也提醒用户，要注意密码设定问题，而网软也在系统上新增了双因素验证机制，让用户可搭配简讯OTP来验证，强化系统登入安全。

从上述这些资安强化内容来看，网软系统在基础资安防护上，似乎过去仍有一些不足之处，例如系统登入相当缺乏安全防护机制。尽管该业者主要服务的对象是非营利组织，但攻击者显然并未因此放过他们，而这样的资安事件，不仅是对对于其他慈善组织，以及这类型的资讯服务商，都是一个警惕，也突显任何使用资讯与IT技术的各类型企业与组织，都需要同时考量到资安。

另外，由于网软至今并未对外公告发生资安事件，因此这次资安事件的影响范围，仍令外界感到忧心。是否只有捐款系统发生资料外泄情况？毕竟，我们从该公司网站公开的案例，可以看到他们的客户，不只是多个爱心协会，像是在线上金流整合服务中，屏东县-也是其客户，因此，是否各产品服务的所有客户，都受此次资安事件影响，遭遇资料外泄情形，势必也都要有所清查。

在网软官方网站上，已在8月3日发布刑事警察局的反诈骗宣导，但至今还没有对外公布遭骇客攻击与资料外泄的资安事件。

近期已有许多爱心机构配合警方发布反诈骗宣导，少数机构则说明是社福组织使用的捐款系统厂商遭骇，而在迦南身心障碍养护院的脸书粉丝专页上，也传达了他们接获网软公司的资安事件通知，当中指出要他们提醒捐款人小心诈骗，并说明该公司现有的资安事件应变措施。

对于相关爱心协会的捐款民众而言，当心假冒其名义的诈骗，并注意信用卡盗刷风险

另一方面，为了因应捐款资料外泄可能衍生的风险，包括ATM相关诈骗与信用卡盗刷，网软也向相关爱心协会发布通知，请他们务必通知捐款人注意。

对于使用信用卡捐款的民众，需注意盗刷风险。虽然海外盗刷方面其实收单银行自行就可能侦测到并阻挡，但民众自身还是要留意不明刷卡记录，一旦发现，应尽速向银行反应，通常待银行查证属实后，消费者无须负担被盗刷的费用。网软指出，银行端会帮助留意盗刷之外，但从目前诈骗现况来看，最不容易被追回诈骗款项的管道，还是ATM操作，还有临柜汇款或网络银行转账。因此他们也呼吁相关爱心协会需尽速向捐款人通知，而网软也会协助机构发送防诈骗简讯与电子邮件。

还要注意的是，诈骗集团会不断翻新诈骗话术，也会改趁民众无法确认的时间来诈骗。例如，网软表示，近期诈骗集团假冒爱心协会客服人员，就开始利用爱心协会遭骇的消息，再向捐款人骗称需核对个资与信用卡资料，进而骗取相关资讯；另外，近期国内媒体揭露镇澜儿童家园均款人遭诈骗，也运用新的手法：诈骗集团利用协会下班时间，趁著晚上打给捐款人。

对于各爱心协会的因应情形，网软也提到相关现况。基本上，大多数协会都很积极通知捐款人，因为这些协会可能已经接获相当多起民众询问。不过他们提醒，诈骗集团可能一波一波发动诈骗，因此要持续提醒民众。

但也有爱心协会仍害怕向民众宣导，因为这样可能让民众变得不敢捐款。然而，捐款个资外泄情形已经发生，坦然面对更重要。毕竟，已有受害机构工作人员表示，许多捐款民众通报接到冒用机构名义来电的诈骗，且对方能够说出捐款日期、捐款者姓名或名义，以及捐款方式等。若捐款民众不知道状况，带来的冲击与影响其实是更大。

在8月初，刑事警察局发出诈骗活动的预警，引发高度关注，因为165反诈骗专线受理的解除分期付款诈骗案中，有27件的通报对象竟然是民众做爱心的慈善捐款协会遭到冒名，警方并指出，诈骗方掌握了捐款人姓名、电话、捐款金额等资料，借此取信被害人。最初民众通报的对象，包括“台湾乐作创益协会”、“中华育幼机构儿童关怀协会”、“弘化同心共济会”、“台湾防盲基金会”、“中华民国儿童癌症基金会”，以及“爱盲基金会”等。接下来，月初出现多起通报的还有“育成社会福利基金会”、“第一社会福利基金会”、“沐风关怀协会”、“微客公益行动协会”与“导盲犬协会”，到了8月中旬（至16日止），警方统计，已经多达35家假冒这类的爱心慈善协会的诈骗，当时接获超过120件民众报案，财损更是超过1600万元。后续，国内媒体报导相关诈骗案的还有，假冒“大甲镇澜儿童家园”、“花莲黎明教养院”、“迦南身心障碍养护院”等。