中秋连假期间,疑似有人力银行遭骇,求职者个资被盗卖,安侯建业(KPMG 台湾所)资安专家表示,对骇客来说,求职资料含金量颇高,尤其正值科技战期间,台湾高科技人才数据库更成垂涎目标。
自由时报日前报导,治安单位在追查案件时,发现国内人力银行疑似在中秋节前夕遭中国骇客入侵,盗走 592 万多笔个资,并遭张贴至中国暗网交易论坛出售;遭骇的人力银行业者 4 日澄清,从骇客已公开的 35 笔资料判断,全为 2013 年旧资料,确切遭盗的个资笔数,目前仍在详细清查,已主动向调查局报案。
对此,安侯建业联合会计师事务所(KPMG 台湾所)表示,虽然案件实情仍待调查,但从近年案例分析,每逢台湾连续假期或台风假,对骇客集团来说都是“好日子”,因资讯人员及系统维护厂商人力配置较少,各种网络事件疏于监控,一旦发现有入侵迹象,求援不易,回应不及。
KPMG 数位科技安全服务负责人谢昀泽则表示,在骇客眼中,求职资料含金量颇高,包括通联资讯等当事人完整个资,易成为诈骗、或行销资料盗卖集团狙击的首要标的;特别在美中贸易战、科技战期间,台湾高科技人才数据库,更可能是全球垂涎目标。
KPMG 数位科技安全服务经理林轩宇分析,企业网络遭侵入的常见原因包括 Web 系统设计缺陷、网络防御机制漏洞、委外厂商所留的漏洞或后门,或系统管理者账号遭夺权等问题,提醒拥有大量个资的网络服务业,应在假期前,针对上述各项资安热点进行超前部署。
林轩宇也建议,企业平时对网络相关情资,如对公司资安漏洞、客户档案外泄的讨论等,应即时且有系统性的搜集、观测并且分析;情资监控范围,也应尽可能涵盖企业上下游供应链与生态链相关公司,才能即早发现问题,如发现个资外泄,应速依个资法主动通知当事人,降低事故冲击。
林轩宇认为,比起人力银行业者,大多数公司过去针对人事资料的保护更嫌不足,人事招募若采外包的公司,应定期评估企业本身与合作厂商的个资、资安管理能力,甚至针对委外厂商定期进行资安评估或实地稽核。
至于曾于人力银行登入履历的求职者,KPMG 台湾所提醒,近期应提高警觉,注意有无相关诈骗集团应用所外泄的资料,以电邮、电话或社群媒体诈骗,有需要可进一步向 165 反诈骗专线求助;非求职期间,可考虑要求人力银行业者将求职个资依法予以删除,以降低自身个资被泄漏风险。
(作者:吴佳蓉;首图来源:pixabay)
