駭客掌握「上帝視角」!OTP驗證平台被駭 中央部會、學校、醫院大量簡訊外洩
民視新聞/蘇恩民報導
台灣政府單位、企業通訊與簡訊服務驚爆重大資安危機。一名駭客在駭客論壇貼文聲稱持有台灣最大OTP簡訊平台 Every8D 與企業通訊軟體 TeamPlus 的內部系統權限,還囂張展示大量政府機關、學校、醫院、企業人員的電話及發送簡訊紀錄,而這波攻擊不僅導致Every8D平台癱瘓超過一周,許多用戶上社群崩潰哀號,金融資安資訊分享與分析中心(F-ISAC)更罕見發布「三級情資」黃燈級(TLP:Amber)資安事件警訊。
這起事件的嚴重性,已經遠遠超越了單一企業的系統遭駭,因為Every8D 是國內OTP驗證碼的主要服務供應商,長年與電信業者深度合作,每月簡訊發送量超過2億封,加上全台各大銀行身分驗證、電商交易確認、政府機關通知及金流業者OTP(一次性密碼)認證業務,讓該平台早已成為不可或缺的關鍵基礎設施。
而從駭客揭露的外洩資料,可發現受影響的範圍涵蓋總統府、五院、軍方在內的政府機關、上市櫃企業、醫療院所,乃至於數以百萬計的民眾。當手機簡訊已經成為現代人登入銀行、驗證身分、接收政府通知的「最後一道防線」時,簡訊平台的淪陷,無異於將全台灣人民的數位身分證中心直接向詐騙集團與駭客敞開大門。
AD權限控管不足 駭客侵入網路核心骨幹
從技術與企業架構防護的角度來看,這次外洩的細節令資安界感到不寒而慄。資安專家分析駭客釋出內容,攻擊者不僅掌握了對外 IP 與 HAProxy 架構,還列出 MSSQL 資料庫、RabbitMQ、MongoDB、Redis、Hyper-V 虛擬化環境、NAS 儲存設備、監控平台,以及最重要的 Active Directory (AD) 網域信任拓樸等關鍵核心資訊,甚至連 Production (正式上線) 環境、備援架構、資料庫容錯移轉叢集 (DB failover cluster) 與網域控制器位置也一併揭露。
這意味著,駭客的攻擊進度早已跨越了外部探測階段,而是實質進入了企業內部網路的「核心骨幹層級」。從曝光的架構中,資安專家發現系統內同時存在大量舊版 IIS、Java Application Server、MSSQL 與多組管理介面,部分監控平台、伺服器遠端管理介面 (iLO) 及 Hyper-V 管理節點甚至可直接被辨識。這些資訊一旦落入勒索軟體集團或國家及駭客 (APT) 組織手中,無疑將成為更深層滲透、橫向移動的完美跳板。
對企業與政府單位來說,此事件無疑是一記響亮的警鐘,徹底凸顯出台灣許多核心訊息平台仍存在AD權限控管不足、網段暴露過大、內外網隔離不完整,以及老舊 Legacy 系統未及時下線等致命的管理漏洞。
「數位軌跡」全曝光 駭客比你還懂你
許多民眾可能會輕忽地認為:「現在電話號碼早就外流了,簡訊內容被看到有差嗎?」 這種想法完全低估了現代數據拼湊的殺傷力。真正可怕的從來不只是「電話號碼」本身,而是駭客透過簡訊內容,精準掌握了這支手機的主人「正在做什麼、相信什麼、最近跟哪些單位互動」。
更令人憂心的是,駭客公開的資訊中,赫然發現大量涉及總統府、五院、各部會與軍方有關的簡訊。流出的對話內容令人震驚,涵蓋了民眾生活的各個層面:
政府與身分驗證:包含文化部的文化幣 APP 註冊驗證碼、內政部300億元中央擴大租金補貼專案的意願調查、民眾預約4月17日至外交部辦理護照的確認訊息,甚至還有民眾詢問身分證辦理進度是否也在外交部的對話。
醫療與健康隱私:有家屬焦急傳送病患因胃穿孔引發急性腹膜炎,緊急送往三軍總醫院開刀並住進加護病房的通知,以及新竹空軍醫院的收發紀錄、內湖三軍總醫院的檢查訊息。
財務與消費紀錄:涵蓋了財政部電子發票中獎通知、信用卡網路交易的OTP 驗證碼、甚至有民眾因開刀無法正常繳納車貸,向租車公司發送的求情與協商簡訊。
政治與軍事互動:包含與立委、議員的互動、選民的陳情與政治觀點表達(如對賴清德總統、特定立委的意見);還有國防部崇實路會客室的通報,以及現役或退伍軍人的相關對話。
這些看似零碎的簡訊,實則是每個人的「數位生活軌跡」。 當駭客將這些資料拼湊在一起,就能建立極度精準的「真人輪廓」。他們會知道你常接觸哪些政府單位、習慣用哪家銀行、近期是否有出國計畫、甚至是否有貸款壓力或醫療需求。
社交工程大進化 詐騙「為你量身打造」
資安專家提出嚴重警告,此類事件最大的風險,是後續勢必衍生的「社交工程攻擊」。過去的詐騙簡訊往往是「亂槍打鳥」,例如發送「您的帳號異常,請點連結」,民眾早已具備防備心,但未來的詐騙將變得極度擬真。
當駭客掌握了你真實的收發習慣與政府通知格式後,他們可以發送如:「王先生您好,您4/17預約外交部護照補件資料仍缺文件,請於今晚前完成確認」這類完全契合你近期行為的釣魚訊息。因為人們天生會相信「自己最近真的做過的事情」,這將導致社交工程攻擊的成功率直線飆升。
更嚴峻的是,當OTP驗證碼、SMS Gateway與簡訊API遭到駭客濫用,最嚴重將衍生出帳號接管(ATO)、金融驗證攔截,甚至被駭客用作企業內部橫向移動的工具。這讓一般民眾面臨極高的隱私暴露風險,個人手機號碼與通訊習慣不僅遭建立輪廓,政府或金融通知也將被完美仿冒。
事發一周證實被駭 已向調查局報案
對此,業者今天發出公告表示,EVERY8D企業智慧簡訊平台近日服務異常,初步判斷服務器硬碟資料毀損,後來偵測到部分系統出現異常情形,經內部檢視後,已於第一時間啟動資安事件應變機制,並同步委請國際資安專業公司「趨勢科技」進行數位鑑識(Incident Response, IR)與事件調查,同時已向法務部調查局完成報案程序,配合相關單位進行後續調查與聯防作業。
針對此次事件,資安公司竣盟科技總經理鄭加海指出,金融資安資訊分享與分析中心(F-ISAC)已發布了黃燈級(TLP:Amber)資安事件警訊。他提醒,外界必須將其理解成「可能具有擴散風險的資安警報」。這份情資預警的主要用途,是讓銀行、企業與會員單位趕快確認自身是否使用相關服務、是否存在相同漏洞,以及系統有無異常流量或可疑登入。這是一種「提前示警」,提醒相關單位駭客可能已經觸碰到某些系統,必須立刻提高警戒以防風險擴大。
鄭加海進一步提出三個判斷事件嚴重性的關鍵角度: 第一是「資料有沒有外洩」。會員資料、手機號碼、驗證資訊一旦流出,必將成為詐騙與釣魚簡訊的溫床。第二是「服務有沒有受到影響」。若出現OTP收不到、簡訊異常或營運停擺,代表攻擊已干擾實際運作。第三,也是最深遠的影響——「信任是否開始崩潰」,因為簡訊現在早就不只是聊天工具,它其實是很多帳號的最後一道身份驗證。
駭客掌握「上帝視角」 專家示警:眼見不一定為憑
當銀行登入、信用卡交易、通訊軟體認證全仰賴手機簡訊時,簡訊平台某種程度上已經是數位世界的「身份證中心」。一旦這個中心被駭,整個社會將對「這封通知是真的假的?」失去信任。當人民無法再相信銀行的驗證碼與政府的簡訊,受傷的將是整體數位社會的基礎運作機制。
鄭加海提醒,面對已經外流的資料與潛在的攻擊風暴,上市櫃企業與政府機關必須立即啟動零信任架構(Zero Trust)的盤點,汰除老舊系統並嚴格限縮內網權限。而對廣大的使用者而言,從此刻起,必須建立起「眼見不一定為憑」的最高警戒心。即使簡訊內容精準說出了你昨天的行程、你看病的醫院、或是你正在申辦的護照業務,在點擊任何連結或提供驗證碼之前,都必須透過官方管道進行二次查證。因為在這個「上帝視角」被駭客掌握的時代,盲目的信任,將是你交出數位資產與個人隱私的最後一把鑰匙。