美國專門追蹤網路極端主義與恐怖組織活動之團體「賽德情報集團」(SITE Intelligence Group)指出,全球各大衛生機構員工之公務信箱帳密,遭不明人士於匿名論壇4chan、推特(Twitter)及即時通訊軟體Telegram頻道上公開。
該集團表示,共計約2.5萬筆公務信箱帳密遭洩漏,受駭機構包括世界衛生組織(World Health Organization, WHO)、美國國家衞生研究院(National Institutes of Health, NIH)、美國疾病管制暨預防中心(Centers for Disease Control and Prevention, CDC)、世界銀行(World Bank)等與新型冠狀病毒(COVID-19)防疫相關之機構,其中高達9,938筆外洩資料來自美國國家衞生研究院,其次為美國疾病管制暨預防中心6,857筆、世界銀行5,120筆及世界衛生組織2,732筆帳密遭駭。至於臺灣衛生福利部疾病管制署(以下簡稱疾管署)則有69筆公務信箱帳密遭外洩。
澳洲網路安全專家 Robert Potter推測外洩資料係經由暗網販售流出,並曾嘗試用遭外洩之公務信箱帳密,成功登入世界衛生組織電腦系統,其中48人係以「password」為密碼,亦有使用者以名字作為密碼,顯示該機構人員之密碼安全性十分不足。
疾管署則表示遭外洩公務信箱帳密非屬現有之有效帳號,目前已停用遭外洩之公務信箱,另該批在外流傳之密碼規則多與疾管署制定之密碼規則不符,疑為公務信箱遭人註冊於外部網路服務,而相關服務遭駭客入侵竊取帳密所致,非直接由疾管署系統外洩。
資料來源:
https://www.cdc.gov.tw/Bulletin/Detail/86s-TTbLXU4toqaOqZR1BA?typeid=9