簡訊代發平台EVERY8D疑似遭駭 數發部啟動行政檢查
國內資訊服務業者互動資通(Teamplus)日前疑似遭受網路攻擊侵駭,導致旗下EVERY8D簡訊代發平台服務中斷及疑似用戶個資外洩,數發部數產署表示,將於6月2日進行個資實地行政檢查,儘速釐清該公司相關個資保護措施是否符合法令規範,維護民眾權益。
針對簡訊代發業者EVERY8D疑似遭駭事件,數發部已進行以下三項應處作為:
一、 啟動行政檢查:數產署依據《個人資料保護法》第22條規定,已要求互動資通公司提供相關資料,並將於6月2日上午會同經濟部與國家通訊傳播委員會(NCC)進行個資實地行政檢查,針對該公司事故應變及個資保護是否符合相關法令規範進行檢查釐清。
二、 要求業者盡快通知當事人:數產署已責成互動資通公司採取應變措施,如有個人資料洩漏時,應儘速通知相關受害業者及民眾,使當事人知悉個人資料可能遭侵害情形,及時採取補救措施,降低損害之擴大。
三、 發布資安警訊,通知政府機關、關鍵基礎設施評估風險及回報應處措施:數位發展部資通安全署已發送資安警訊通知各機關評估風險,釐清是否使用互動資通公司服務,如有應通報受影響範圍,應儘速依照《資通安全管理法》及《個人資料保護法》應處。
由於EVERY8D的部分客戶曾經使用該平台發送一次性驗證碼(OTP),作為網站登入時的身分驗證機制,因此引發了OTP機制的安全疑慮問題。
資安署表示,由於OTP密碼具有時效性,一般在發送後3到5分鐘之內就會失效,所以如果EVERY8D平台能在事件發生後就馬上修補原本的資安漏洞,讓駭客無法繼續盜取該平台發送的簡訊內容,風險就會相對較低,但仍請民眾注意,自身帳號近期是否有異常登入情形,並適時採取更換密碼等防護措施,以提升帳號安全。
資安署並指出,政府專屬「111」簡訊未使用互動資通公司平台發送,相關系統並未與該公司串接,請民眾放心。