全球衛生機構電子郵件帳密遭外洩

• 發布日期：109-04-29
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 全球衛生機構電子郵件帳密遭外洩https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16387
美國專門追蹤網路極端主義與恐怖組織活動之團體「賽德情報集團」(SITE Intelligence Group）指出，全球各大衛生機構員工之公務信箱帳密，遭不明人士於匿名論壇4chan、推特(Twitter)及即時通訊軟體Telegram頻道上公開。

該集團表示，共計約2.5萬筆公務信箱帳密遭洩漏，受駭機構包括世界衛生組織(World Health Organization, WHO)、美國國家衞生研究院(National Institutes of Health, NIH)、美國疾病管制暨預防中心(Centers for Disease Control and Prevention, CDC)、世界銀行(World Bank)等與新型冠狀病毒(COVID-19)防疫相關之機構，其中高達9,938筆外洩資料來自美國國家衞生研究院，其次為美國疾病管制暨預防中心6,857筆、世界銀行5,120筆及世界衛生組織2,732筆帳密遭駭。至於臺灣衛生福利部疾病管制署(以下簡稱疾管署)則有69筆公務信箱帳密遭外洩。

澳洲網路安全專家 Robert Potter推測外洩資料係經由暗網販售流出，並曾嘗試用遭外洩之公務信箱帳密，成功登入世界衛生組織電腦系統，其中48人係以「password」為密碼，亦有使用者以名字作為密碼，顯示該機構人員之密碼安全性十分不足。

疾管署則表示遭外洩公務信箱帳密非屬現有之有效帳號，目前已停用遭外洩之公務信箱，另該批在外流傳之密碼規則多與疾管署制定之密碼規則不符，疑為公務信箱遭人註冊於外部網路服務，而相關服務遭駭客入侵竊取帳密所致，非直接由疾管署系統外洩。