系统有漏洞7所高中遭殃!校务行政系统遭骇勒索
教育部景图。(李侑珊摄)
国教署于3月12日、14日分别接获亚昕资讯股份有限公司(以下简称亚昕公司)通知,表示接获骇客以威胁已获取且将散布该公司校务行政系统内高级中等学生资料为由,向该公司勒索费用,该公司向国教署通知并已向警察局报案。国教署于接获通知后,立即启动资通安全事件通报、个人资料事件通报、个人资料行政检查、紧急应变措施及调查作业。
国教署表示,为厘清骇客入侵攻击情形,国教署即与资安鉴识专家学者,赴亚昕公司进行数位鉴识,经初步清查发现,骇客系透过某校系统漏洞,入侵主机,成功执行恶意程式,进而窃取该所学校帐号密码,并以该组帐号密码,成功登入其他6所使用亚昕公司之高级中等学校校务行政系统学校,并窃取该等学校学生个人资料。
国教署说明,经初步鉴识,发现仅有遭到外部下载学生个资操作动作,并未发现新增、删除等操作行为。另有关于各该学校校务行政系统之学生学习历程档案,依据目前鉴识状况,并未发现被窜改、删除的轨迹,但为确保学生权益,须审慎确认校内学生学习历程档案的保全,国教署已组成专业小组启动与亚昕公司签约的26校之学生学习历程档案资料之正确性核对,持续进行LOG检视及资料比对作业,预计于113年4月8日前完成清查。
国教署表示,就学生个资外泄部分,国教署将依据个人资料保护法第12条规定请学校通知当事人,并呼吁各该学校学生近期注意自身个人资料有无被盗用情形,如有发现亦请尽速向学校反映;除前述7所受影响学校外,全国高级中等学校使用亚昕公司单机版校务行政系统之学校尚有19所,国教署为掌握其余学校个资外泄情形,即刻进行数位鉴识,并与各该教育行政主管机关合作,协助各该学校持续强化资通系统安全能力,并落实校内个人资料保护,以维护学生权益进行各项保护措施。