資安署:公務信箱註冊外部網站 恐有帳密外洩風險
数位部资安署最新一期资安月报指出,呼吁公务人员不要使用公务信箱注册在非公务外部网站,且帐号密码也应该跟公务系统不同,避免外部网站遭骇后,可能导致帐号密码外泄等资安风险。示意图/路透
数位部资安署最新一期资安月报指出,呼吁公务人员不要使用公务信箱注册在非公务外部网站,且帐号密码也应该跟公务系统不同,避免外部网站遭骇后,可能导致帐号密码外泄等资安风险。
根据数位部资安署最新一期资通安全网路月报,发现部分公务人员使用公务信箱注册在非公务网站,导致帐密外泄案例。
资安署解释,如果外部网站遭骇,骇客可能从公务信箱发现是公务人员,相关帐号、密码及使用者个资等资料都将同步曝险,若个人使用在外部服务的密码又跟公务系统相同,就可能有资安风险。使用者的电脑系统及软体也应该定期更新及扫毒,以维护资通安全。
此外,在事前联防监控部分,月报指出,今年1月政府机关资安联防情资共6万2578件,较去年12月增加1万2997件,分析可辨识的威胁种类,第1名为资讯搜集类(31%),主要是透过扫描、探测及社交工程等攻击手法取得资讯;其次为入侵尝试类(23%),主要是尝试入侵未经授权的主机;再来为资讯内容安全类(15%),大多是系统遭未经验证存取或影响资讯机敏性。
月报进一步分析联防情资资讯,发现近期骇客利用微软Outlook电子邮件服务,针对政府机关人员寄送主旨为「投诉政府人员不作为」,内含恶意附档的社交工程电子邮件,企图诱骗收件人开启恶意附档以植入后门程式,进而窃取机敏资讯,相关情资已提供各机关联防监控防护建议。
至于在事件发生中的通报应变部分,月报指出,1月资安事件通报数量共79件,较去年12月减少12件,主要为多个机关资讯设备符合恶意程式特征的连线或疑似下载恶意程式,占总通报数量58.23%。
事后资讯分享方面,月报指出,某机关端点侦测软体侦测发现对外服务网站遭尝试上传后门程式,调查发现,网站后台帐号密码为弱密码,导致骇客破解后成功登入,并尝试上传恶意程式。
调查也发现,这组帐号密码从厂商交付后,未曾变更密码;机关已停用并另外建立新帐号,采用复杂性密码(长度至少8码,含英文大写、小写、数字及特殊符号),同时设置仅限单位内部可存取的管理介面。
资安署指出,机关应建立密码变更机制,并套用到内部所有系统,首次登入系统时,应立即变更密码,采用复杂性密码,避免使用预设密码导致外泄风险。
资安署建议,机关应针对后台登入页面限制存取来源,仅允许内部IP存取,并套用政府组态基准的帐户原则,像是定期变更密码、采用复杂性密码及设定帐户锁定阈值(尝试登入错误次数)等,降低系统遭入侵风险。