震撼公益界的資安爆彈──捐款人個資外洩事件追蹤報導
文/黎育如
社會各界方從疫情降級中慢慢復甦,公益界在疫情期間為了緊急應變社會服務,已經歷過一波陣痛與改變,但一波未平一波又起,現在公益界正經歷另一場動盪的危機,而且是要與公益最堅強的後盾──捐款人,一起面對的資安危機。
詐騙連環爆
七月底,全台公益團體陸續接到捐款人反應,有心人假扮公益機構人員,利用捐款人資料進行詐騙。「捐款設定有誤,依照指示進行更改」、「捐款事務需要相關詳細個資」,是捐款人最常遭遇的情況,這些詐騙話術與一般詐騙手法相似,普遍都欲將捐款人引至ATM,進一步竊取金融帳戶資訊。
然而,不同於一般商業行為的詐騙,詐騙集團利用公益的正面形象,以及捐款人的善心、信任,讓受害者更容易信以為真。
中華育幼機構兒童關懷協會是第一家去報案的公益組織,接連育成基金會、第一基金會、至善基金會等等有規模的公益團體,無一倖免。一家又一家公益團體接連遭遇相似情況,也讓大家開始有了警覺。
台灣公益團體自律聯盟陸續接獲聯盟內組織的反應,八月上旬詐騙事件持續延燒,公益團體都相當著急,不確定該如何應對捐款人。衛服部社家署也在8月2日通知留意公益詐騙,切勿上當。
與此同時,經刑事局與調查局的介入調查,發現遭到詐騙影響的公益團體,其所使用的捐款系統,皆屬於網軟公司所提供的服務。調查推估網軟資料庫的捐款人資料,早在六月就遭駭客入侵竊取,資料最後落入詐騙集團之手,才在七月開始大規模的詐騙。
駭客看準公益團體捐款人的可利用價值,而網軟公司過去是由喜瑪拉雅基金會成立,在二十年前隨網路捐款發展之時而起,至今承接了220家公益團體的服務。上百家的規模顯見此次詐騙影響範圍相當大,連環爆的星火勢必會持續在公益界燃燒。
火燒兩頭,系統公司反應慢半拍
網軟公司的資料庫推估在六月間遭駭,但網軟卻遲於7月27日經公益團體反應之後,才意識到捐款資料外洩,緊急徹查系統,察覺確實有境外可疑IP。8月2日網軟蒐集到完整資料,向刑事局與調查局通報,8月5日正式向桃園調查局立案。
時間來到8月13日,刑事局確認駭客攻擊手法,此次攻擊事件並非單點進行,而是多方攻擊主機。由於網軟公司無法確定遭攻擊的範圍,根據刑事局的看法,只能假定所有捐款人資料,都已被駭客竊取。
面對資料遭全面竊取的局面,網軟循基本的途徑,進行掃毒、鎖定IP、變更密碼。但網軟對整起攻擊事件的回應,顯見其資安維護能力不足,需要尋求外界一同協力,此時資策會科研所、國際資安大廠紛紛提供協助,確認現行系統安全無虞,並持續進行資安相關的認證。
然而,除了縫補資安的漏洞,最重要的還是與客戶端公益團體的溝通,公益團體也才能掌握狀況,告知捐款人。在得知資料遭大規模竊取之後,網軟表示發送了四十萬封簡訊給捐款人,提醒不要受騙。雖然網軟想從捐款人端介入,阻止影響擴大,但有些公益團體卻反應簡訊發送並不完整,仍有部分捐款人未收到通知。
在整起捐款人資料外洩的事件中,網軟與公益團體之間的互動也遭質疑太過消極。事件爆發之初,幾乎是處於被動狀態在與公益團體溝通,發布消息與應對措施也是慢半拍。事態的進展,卻也真實反映了網軟作為系統公司的兩難之處。捐款人個資外洩如同連鎖效應,勢必影響捐款人與公益團體之間的信任關係,這也牽連到網軟與公益團體之間的決策,究竟要不要全面告知捐款人?是否會引起更大恐慌?又該如何對捐款人交代?
在煙硝中嘗試止血,公益團體的下一步?
「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」台灣個資法第12條明確說明,相關單位有義務告知當事人個資外流,否則將承擔相關法律責任。這也意味著不論是公益團體還是系統商,都應與可能受影響的捐款人公開透明地溝通。
事件延燒到了八月中下旬,網軟始終無法確認受影響的範圍,甚至多爆出了信用卡相關個資也可能外流的疑慮。由於現今公益團體的定期定額捐款,多是綁定捐款人的信用卡進行定期支付,若信用卡資訊外流,為了防範盜刷,持卡人必須換卡。但這也令公益機構擔憂,捐款人換卡之後,未必會繼續捐款。
在事件爆發的一個月期間,從一開始公益團體前瞻顧後,擔憂打壞與捐款人之間的關係,到後來隨著影響漸漸擴大,公益團體之間也漸漸有了共識,並開展出行動的網絡。
網軟公司所服務的220家團體中,台灣公益團體自律聯盟的盟友就有65家受到影響。對此聯盟也緊急應變,不斷對公益團體和捐款人宣導,如何應對可能找上門的詐騙。為了維護公益團體的權益,也將集體採取法律的途徑進行報案,盡力將駭客繩之以法。
在所有緊急應變的作為之中,最艱困的仍舊是如何確保往後的資訊安全。這也是為何公益團體要求網軟應取得第三方的資安認證,同時也要求應由獨立第三方進行事件調查,藉由調查報告才能對捐款人有所交代。
然而,若是要徹底檢視資訊安全的議題,還是得回歸到公益團體與系統公司之間的協作、互動模式,雙方能如何共同提升資訊安全。
看見公益之傷
至善基金會是在此次個資外洩中受到影響的公益團體,8月11日就緊急發布反詐騙聲明,採取積極作為來面對捐款人。並且也呼籲其他公益團體,要主動掌握與捐款人之間的溝通,由機構直接、全面地溝通,才是保護捐款人、避免事態擴大的最好作法。
挽救並穩住捐款人的信心,是許多公益團體的當務之急。同時,也讓公益團體意識到在近幾年發展數位轉型的歷程中,資訊安全是長期被忽略的一環。
公益服務與流程數位化,可以更有效率的幫助公益工作者,在資源有限的情形下,公益團體自然會將資訊整合服務外包給第三方進行協作。但工作者本身若沒有提升資訊素養,只是將服務外包節省時間成本,危機就會在不知不覺中累積。此次個資外洩事件,就是一個引爆的時機點。
培養自身的資安意識確實刻不容緩,在資訊協作的時代中,建構一個良性、暢通的互動網絡,也才是能確保穩定的根本之道。但眾人同時也身在「雲端世代」,資訊以多元方式存放和流動,已是現今運作的常態。這更帶來了多重的挑戰,包含從使用者端的安全、到混合雲端的安全,乃至於整個網絡的安全。
在此次網軟系統商的資安漏洞中,能望見的不僅只是單方面系統運作問題,以及基礎資訊建設缺乏革新,更深刻的是必須看見,在數位轉型的時代中,資訊協作的各方從意識培養、運作規則、溝通到培力,各個階段必須承擔什麼樣的責任。
看見公益之傷,對症下藥,支持的力量不會遠去,社會才得以持續前行。接下來,NPOst將針對公益團體的數位轉型,以及資訊安全議題進行系列報導。