【大纪元2019年11月08日讯】(大纪元记者李怡欣台北报导)高雄中山大学电邮被骇事件,经清查共85人信箱被入侵,主要是社科院和海洋学院的教授及校内一级主管。校方8日表示,这项漏洞已修补,未来会加强防护。学者受访表示,“这只是冰山一角”,台湾长期对资安重视不足、资源不足,如果未改善,未来问题还是会层出不穷。
中山大学政治所陈至洁教授7日脸书发文指出,有身份不明的监看者,利用openwebmail的漏洞,冒充校方行政人员,静默监侦十多位教授Email信件长达三年。他说,被监看学者主要是两岸政治与台湾公共事务领域教授,恐怕台湾其它大学电邮可能也被骇了,“尤其那些与政府外交两岸国安情治,或高科技领域合作密切的学校 ”,台湾政治学人际网络已被“他们”摸得一清二楚。
中山大学中国与亚太区域研究所教授林文程表示,中共一直想介入台湾,用锐实力影响台湾,政府必须更重视资安问题,防止中共黑手伸入台湾,监控台湾的社会;韩国瑜国政顾问团召集人、中山大学政治所教授廖达琪也在骇客监测名单,她说,自己曾收到学校发信要更改信箱登入密码,才讶异自己邮件遭监看,很担心资讯被窃。
资安维护像房子定期打扫
对此,成大电机系教授李忠宪表示,“大多数”台湾的大学为节省管护与使用执照成本,使用免费程式改成学校电邮系统,甚至将系统委外管理,“这都是造成资安风险的原因”。李忠宪说,资安维护就像房子“定期打扫”,学校没有专职资安人力,因此漏洞才会存在三年都没被发现,自然也无法咎责惩处。
李忠宪说,这起事件是内部邮件“管理权限”被骇,骇客组织可任意监看所有使用者档案、信件,甚至隐藏或窜改信件,且被监测对象是“政治”学者,很明显有“政治意图”,如果这个攻击来自“国家”所发动,那真的很不妙!
“这个只是冰山一角”,李忠宪指出,只要政府单位与校方一日不重视资安,不投入足够资源与经费,“相信这类漏洞问题,还会不断发生”。他呼吁,大学老师特别小心,“自己要清楚校内信件安全程度”,并希望教育部要给学校充足资源在资安防护上。
“不用钱的最贵”,李忠宪提醒,现在很多程式来自中国大陆,很难讲背后是否有问题;尤其中共处心积虑想并吞台湾,其网路间谍行为已是红色警戒程度,“当初,一批资通学者站出来反服贸的电信与资料库开放,就是这个原因”,向对岸开放电信简直是亡国的自杀行为。
资安人士:恐是组织型骇客集团
匿名资安人士表示,这很可能是“组织型骇客集团”,犯罪者以进阶持续性渗透攻击(Advanced Persistent Threat,简称APT),“埋入一个间谍”长时间且持续性地潜伏及监控,趁使用者疏忽时捞资讯;并且以“假账号”乔装学校权威者来信,搜集人脉、交叉扩散,以“社交工程”企图影响“心理认知”来窃密的网路诈欺行为;推测这是内部漏洞,骇客取得管理员身份,自由进出、监控与汇出资料,“被骇时间这么长,恐怕整个学校内部使用者的邮件与资讯都被看光光了”。
关于中山大学电邮系统被骇事件,行政院资安处表示,事件已立案调查中,不便发表意见。
立委许毓仁表示,台湾对骇客防范、网路攻击与资讯战防护须更积极,政府部门应编足预算落实资安强化,要把“资安视为国安”,不能只是事后补救,必须做到事前预防。许毓仁说,他将在11月26日于立法院组织“资讯安全联盟”促进网路安全强化。◇#
责任编辑:陈真
