KPMG示警:全球防疫人員陷駭客攻擊危機

KPMG示警:全球防疫人員陷駭客攻擊危機

我國疾管署(CDC)疑似公務信箱帳密遭駭事件,KPMG數位科技安全服務執行副總經理謝昀澤表示,經初步分析比對,此事件與「4/20日美國CDC跟NIH帳密外洩到Pastebin平台上的事件」高度相關,應為公務員使用公務帳號於外部網站(如電子商務、網路服務等)進行註冊,而導致的大規模帳密外洩事件,需特別注意進一步觀察,是否有全球防疫人員大量外洩或遭駭客鎖定攻擊的狀況。

1000
tw-tech-tax

KPMG數位科技安全服務執行副總經理 謝昀澤
KPMG資安實驗室主持人副總經理 林大馗

關於稍早我國疾管署(CDC)疑似公務信箱帳密遭駭事件,KPMG數位科技安全服務執行副總經理謝昀澤表示,經初步分析比對,此事件與「4/20日美國CDC跟NIH帳密外洩到Pastebin平台上的事件」高度相關,應為公務員使用公務帳號於外部網站(如電子商務、網路服務等)進行註冊,而導致的大規模帳密外洩事件。然而值得注意的是,在Pastebin公布高達19641筆帳密外洩名單中,除22筆巴布亞紐幾內亞及10筆英國名單外,台灣69筆名單是CDC是除了美國CDC及NIH外,外洩名單最多的受害者。而外洩的域名均是CDC及NIH,需特別注意進一步觀察,是否有全球防疫人員大量外洩或遭駭客鎖定攻擊的狀況。

KPMG資安實驗室主持人林大馗副總經理說明,Pastebin是駭客炫耀攻擊成果的展現平台,常有使用者遭駭之登入資訊被公開於此。使用者除了要強化本身的帳密複雜度以外,特別要注意的是,盡可能不要以公務機關或企業所使用的帳號進行外部服務的註冊,更不要於外部網站設定與公務帳號相同的密碼,如果可能,可以盡量啟用多因子認證(MFA)機制。否則在外部的帳密一但被入侵,使用者所擁有的公務信箱、公務資料、個人金融帳號等,都將一起曝險。而台灣CDC的公務帳號因為已被揭露,可能遭駭客用於設計釣魚郵件,應考量例如郵件電子簽章(SMIME)等可以具體強化公務郵件安全管控之機制。

© 2024 KPMG, a Taiwan partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.

For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance.

上列組織及本文內任何文字不應被解讀或視為上列組織之間有任何母子公司關係,仲介關係,合夥關係,或合營關係。 上述成員機構皆無權限(無論係實際權限,表面權限,默示權限,或任何其他種類之權限)以任何形式約束或使得 KPMG International 或任何上述之成員機構負有任何法律義務。 關於此文內所有資訊皆屬一般通用之性質,且並無意影射任何特定個人或法人之情況。即使我們致力於即時提供精確之資訊,但不保證各位獲得此份資訊時內容準確無誤,亦不保證資訊能精準適用未來之情況。任何人皆不得在未獲得個案專業審視下所產出之專業建議前應用該資訊。

與我們聯繫