資安院驚傳有駭客!涉用爬蟲程式下載公文搞「許願池」 3研究員交保
我國專責資安的行政法人國家資通安全研究院(資安院),竟有駭客級的研究員!檢調查出,他們涉嫌利用爬蟲程式侵入資安院內部系統,海量下載公文,再將資料放到雲端「許願池」,然後製作了一個公文查詢系統「XMAS」,讓所有組員都可以查詢。
台北地檢署檢肅黑金專組檢察官昨日指揮調查局新北市調查處,前往台南資安院沙崙院區前瞻研發組,以及涉案研究員李昱勳、丁柏楓及主任彭敏君的住居處執行搜索,同步傳喚3人到案,經檢察官漏夜偵訊後,以涉犯《刑法》妨害電腦使用及違反《個人資料保護法》,諭知彭敏君50萬元交保、丁柏楓20萬元、李昱勳10萬元。
為提升國家資通安全科技能力、推動資通安全科技研發及應用,2023年2月10日,國家資通安全研究院(資安院)揭牌,為行政法人組織,監督機關為數位發展部。當時數發部部長唐鳳指出,資安院是我國第一個專責資安的行政法人,以國家的高度配合政府整體的資通安全策略,協助重大資安事件,包含應變處置、防護、人才培力、技術發展。
但檢調接獲報案,去年間,資安院資安人員發現有人利用爬蟲程式下載內部公文,從IP溯源追查,發現竟是資通院位於台南沙崙院區前瞻研發組的公發電腦搞的,深入追查發現,電腦的登記使用者就是該組的研究員李昱勳,此外,這台公發電腦還利用同組研究員丁柏楓的帳戶密碼登入,從去年3月間開始至今,每日將資安院內的公文海量下載。
資安人員原本以為可能是丁柏楓的帳號被盜用,但進一步分析後發現,爬蟲程式竟是丁女編寫的,她透過李昱勳的公發筆電當跳板,進到資安院內部下載公文,然後將這些公文分類整理製成EXECL檔案,再傳給頂頭上司,當時該組的組長彭敏君。
據了解,彭敏君3人將這些公文全都上傳到雲端,還把這個雲端取了一個優美的名稱「許願池」。同時還製作了一個公文查詢系統「XMAS」,讓所有組員都可以查詢。
由於資安院與各部會都有業務往來,公文涉及層面甚廣,由於怕重要機敏資料外洩,且3人都是領有證照的駭客級高手,資安院不敢大意,因此向調查局報案,新北市調查處報請台北地檢署組成專案小組共同偵辦。
昨(3/19)日,檢察官指揮新北市調查處、資安站、高雄市調處,前往3人住居處及辦公處共4處地點執行搜索,同時通知3人到案。據了解,3人不否認有下載公文,但辯稱主要是為了控制經費及方便查閱公文,彭甚至表示他們這麼做是經上級交辦。
檢察官認為3人雖不具公務員身分,從初步的事證認定其涉犯《刑法》妨害電腦使用及違反《個人資料保護法》,因此諭知彭敏君50萬元交保、丁柏楓20萬元、李昱勳10萬元。檢調將與資安院共同分析這些公文內容是否涉及國安事件,同時是否有外流,同時追查是否還有其他人共謀涉及不法。