iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 19
2
Security

三十篇資安實例分享及解析系列 第 19

三十篇資安實例分享及解析DAY 19--個資蟑螂集團,涉從不詳管道取得全台一億七千萬筆全民個資,自行開發系統,販售給房仲

  • 分享至 

  • xImage
  •  

Yes

(1)事件:個資蟑螂集團,涉從不詳管道取得全台一億七千萬筆全民個資,自行開發系統,販售給房仲 (新聞來源:https://tw.appledaily.com/headline/daily/20170512/37647782/ )
(2)被攻擊單位:地政機關
(3)系統:土地增值稅前次移轉現值系統
(4)時間:2017年3月
(5)攻擊方式:自行開發「客戶開發搜尋系統V5.0專業版」

這是去年發生的一個重大新聞,主要是因為很多政要名人的土地買賣移轉資料被掌握,因此在當時造成極大的轟動。大家可以看下影片當中,他們主要是利用模糊比對方式,去篩選出相似的個資,再進行比對,直到最後正確資料出現。筆者節錄新聞報紙當中的流程圖,讓大家了解這個入侵的方式。

https://ithelp.ithome.com.tw/upload/images/20181027/20107482NFzWpkNOBC.jpg

筆者比較注意的地方有兩個,首先,第一個我們每一筆個資的價值到底是多少?個資到底有沒有市價

其實是有的,以2014年1111人力銀行入侵104 VIP人力資源系統的事件,當時法院找鑑價單位去鑑價,當時的價格一筆是台幣140元,然而,時過境遷,到了2017年,我們從新聞得到資料是,一億七千筆資料所做成的系統,僅僅以15萬元價格販售,賣了三百套,獲利大約六千多萬來算,一筆個資大約僅剩下約台幣3元左右的價值。

所以你我的個資,隨時間過去,3年價值暴跌40倍以上,這大概是如水銀狂瀉般的下跌吧!

這就是當時被鄉民酸的原因..../images/emoticon/emoticon52.gif

當然這個算法有失偏頗,依照上面新聞底下的其他一些盜賣個資的價格,有的個資還是可以賣到不錯的價格的,畢竟殺頭的生意還是有人會做。

接著我們談一下,模糊對比的問題.....

所謂模糊比對,應該稱之Fuzzy搜尋手法,這是從搜尋引擎在檢索技術演變過來的,經過重複測試的方式,將每次測試之後的結果,列入紀錄,在從記錄中釐清出規律,最後,再核對出正確結果。當後續檢索技術越來越多,越來越成熟,此時就可以得到精確的使用者需求。同樣的,用這個理論套在系統入侵的一端,只要在攻擊時,將每次測試情報紀錄及分析,這樣就可以藉由這個重複的方式,逐步達到精準攻擊時機及目的。

其實大家都在說,個資外洩實在太嚴重了,甚至有些人認為,這些個資外洩,一定是內神通外鬼,才會出現這樣狀況,但筆者認為更可怕的是,這種比對系統,既然可以比對出不動產轉移資料,那麼再深入去思考,民眾的日常消費習慣、銀行存款等等,也一定都能夠被套用到這些軟體上,而被比對出來的。

甚且還有個麻煩的地方,如果這種模糊對比是用在server上,那麼尚且可以透過監控漏洞方式,防止入侵,但麻煩的是,個資這種東西,卻是很固定的,即使同一個名字之下,也可以經由查詢身分證字號,或者住址、電話等等,不同的檢索條件去比對出正確性,模糊地帶極小。

這個棘手的問題,目前是無解的,遇到狀況,只能頭痛醫頭,腳痛醫腳了!


上一篇
三十篇資安實例分享及解析DAY 18--三立電視台離職工程師,涉嫌利用「洋蔥網路」,駭入三立的網路影音平台「Vidol」,刪除主機資料並複製金鑰檔
下一篇
三十篇資安實例分享及解析DAY 20--東海大學計算機中心被駭,一企管系學生被收回畢業證書
系列文
三十篇資安實例分享及解析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

1
SunAllen
iT邦研究生 1 級 ‧ 2018-10-28 01:31:38

記得大概十年前,有電信員工,賣個資,當時好像一筆30元...現在竟然只剩3元=.= 3元的資料...還立法幹嘛...不懂價值的傢伙/images/emoticon/emoticon09.gif

1
snk
iT邦新手 5 級 ‧ 2020-12-08 17:25:54

那麼要哪裡才買的到呢 ?

我要留言

立即登入留言