獨家／高雄公教人員個資全都露？ 駭客宣稱漏洞來自此處

駭客入侵台灣的動作不停歇，這次矛頭指向高雄地區公教人員。據了解，中國大陸駭客15日在LockBit 3.0經營的Telegram群組中，上傳高雄公教人員個資，包含高雄地區法官、教師、警察、戶政機構人員、國小教職人員的身分證字號、手機號碼、工作職稱均被公開，而這次的資安漏洞，駭客宣稱是駭進「高雄市觀光局行政資訊網」所取得。

高市府資訊中心、觀光局初步追查，行政資訊網站未發現有遭駭客入侵跡象，網站也無發布公務人員受訓榜單資訊。

駭客組織LockBit雖然前陣子被全球11個執法組織掃蕩，但核心成員並未被全部抓住，部分LockBit成員創立的群組，仍在運作中。

中國大陸駭客昨日在LockBit 3.0群組中，公布了一份「台灣公務員樣本」資料，這份資料的檔案大小雖然只有1MB，但因為這份檔案是純文字檔（txt.檔），純文字檔案的檔案容量向來不大，頂多都是幾KB或者幾十KB，然而，這次駭客公布出來的檔案容量居然到1MB，這意味個資被外洩的人員不在少數。

這份資料公開的公務人員，大部分是民國94年到民國100年之間在高雄公務機關任職，包含了高雄高等行政法院、戶政事務所、衛生所、鄉公所、國小、托兒所等各式公務機關，從法院院長到村幹事、保育員等各式人員的資料，全部都包含在這份檔案中。

駭客對外表示，相關資料是駭進「高雄市觀光局行政資訊網」所獲得，而這份「台灣公務員樣本」檔案被駭客上傳到群組之後，基本上是免費供人下載，只要有心下載的人，都可以拿到這份資料。

資安專家指出，一般來說，駭客如果是從網站竊取個資的話，該網站有可能存在漏洞，駭客從漏洞攻進網站後，撈取到網站內部資料庫保存的資料。

台灣資訊安全協會（TWISA）監事鄭加海表示，企業或組織為避免被駭客偷取個資，應依照相關個資保護規範（GDPR , ISO27701等）去規劃相關資安防護流程與機制，另外，除了透過加密技術來強化敏感資料傳輸與保存，也可以整合多重情資，透過AI（人工智慧）快速分析過濾出潛在的勒索軟體攻擊，並整合相關資安設備做主動式防禦。如果資源許可，可以規劃目前政府推動的零信任架構，來強化整體資訊系統防禦。

高市府表示，關聯觀光局行政資訊網個資洩漏一案，市府已取得駭客揭露的資料檔案，經分析後發現該檔案內容共有8,094筆資料，其中有7,953筆是縣市合併前原高雄縣政府及縣議會的資料，141筆縣市合併前高雄高等行政法院的資料。由檔案內容的機關名稱及資料建立時間來看，初步研判應非觀光局行政資訊網現有系統資料洩露的，因為現有系統所登載的資料都會是「高雄市」，所以較可能是駭客利用過往取得的資料移花接木的結果。