https://www.ithome.com.tw/news/146376 國內爆發愛心協會大規模捐款個資外洩，影響機構恐破200間，關鍵資訊服務商 網軟遭駭仍在調查中 自7月底，警方接獲大量民眾通報，有冒名多個捐款協會的詐騙案。為何會發生 此事？警方日前已指出這些慈善愛心協會均委託同一資訊系統商，由於傳出遇害 機構可能多達2百家，根據我們循線追蹤，發現與提供非營利組織捐款系統的網 軟有關，該公司在8月向其客戶通知遭駭客攻擊，並呼籲機構通知捐款人小心詐 騙。 按讚加入iThome粉絲團 文/羅正漢 | 2021-08-25發表 最近，臺灣爆發多起愛心捐款協會因個資外洩引發詐騙案件，刑事警察局指出， 至8月16日止，已有至少35個愛心協會，因委託同一資訊服務商遭遇此事，受害 規模比月初更擴大。而這家也是苦主之一的關鍵廠商，經我們追查，就是負責提 供捐款系統公司的網軟科技（intersoft）。 面對這次的網路攻擊事件，該公司坦言，已委請資安業者協助，清查並強化資安 ，執法機關也在持續調查，同時他們也持續通知客戶，也就是通知相關愛心協會 ，將遭駭客攻擊一事告知其客戶，同時，請這些愛心機構向捐款民眾示警，呼籲 大家要小心不斷翻新的ATM相關詐騙話術，並注意信用卡盜刷問題。 警方調查出現大量冒名多個愛心協會的詐騙，對方已掌握詳細捐款資訊 在8月5日，刑事警察局發出詐騙活動的預警，引發全國關注。因為在7月26日到8 月1日這一週內，165反詐騙專線統計受理的解除分期付款詐騙案中，有27件的通 報對象，竟然不是長年名列其中的電商平臺，而是民眾做愛心的慈善捐款協會遭 到冒名，警方並指出，詐騙方掌握了捐款人姓名、電話、捐款金額等資料，藉此 取信被害人。 當時遭到冒名的慈善機構有6家，刑事警察局股長洪國倫表示，這些愛心協會都 委託同一資訊服務商，因此，他們的研發科，以及相關的系統廠商仍在調查與釐 清相關資訊。而到了8月16日，我們聯繫警方，請他們提供最新統計數據，此時 ，冒名愛心協會的詐騙已經增至35家以上。 這樣的大規模愛心協會資料外洩狀況，我們在網路上也看到相關討論。例如，有 網友在社群網站Plurk當中指出，相關機構的資訊服務商是網軟，他們有200多家 基金會客戶，因此，整體的資料外洩情形可能比之前曝光的更嚴重；而我們也看 了很多機構的社群網站，也發現網軟的相關消息，例如，「迦南身心障礙養護院 」的臉書粉絲專頁上，張貼了來自網軟公司的資安事件通知。當我們查詢網軟這 家公司時，恰巧，他們在官方網站上也有公布刑事警察局的防詐騙宣導。因此， 我們聯繫網軟，以確認此資安事件的狀況，也了解他們在這起事件面臨的問題， 以及造成的影響。 影響家數尚未有確切資訊，近期網軟向這些愛心協會通知其資安事件因應措施 其實，網軟是提供非營利組織（NPO）資訊服務的業者，包含捐款管理系統、線 上金流整合、會員與志工管理系統等。 而網軟發生的這起資料外洩事件，的確與上述許多慈善機構捐款個資外洩有極大 關連。但是，我們在網軟官方網站上，並未看到他們發布伺服器遭駭或資料外洩 相關事件的公告，因此難以得知，到底有多少家愛心協會受影響？以及是否有調 查結果？ 對於近期多家愛心協會遭遇資料外洩，以及網軟向其客戶通知資安事件一事，經 我們向網軟詢問後，他們表示，已委請資安廠商協助清查網路攻擊，並檢視現有 的基礎架構，強化網路安全與資料安全，法務部調查局也提供協助，同時他們也 配合主管機關調查。網軟表示，將等調查結果出爐，再一併說明。換言之，他們 目前並無法提供確切資訊。 因此，這次資安事件的入侵方式也還沒有具體答案，不確定是網路攻擊者直接入 侵網軟，或是入侵某一基金會後再入侵捐款系統。 特別的是，由於我們在網路上已看到，兩封由網軟寄送給愛心協會的通知郵件內 容，因此我們也向網軟確認其真實性。網軟表示，這些內容確實都是他們寄給愛 心協會的通知信，告知已遭駭客攻擊與相關因應。 在網軟對愛心協會的通知郵件中，顯示該公司在8月初已告知客戶（相關愛心協 會）網軟捐款系統遭駭客攻擊，並提到已封鎖可疑IP位址，限制具風險性的功能 。 而另一封網軟的通知信中，則在8月中旬說明了這次資安事件的應變現況。 例如，除了尋求資安業者提供顧問服務，他們也委請資策會資安科技研究所協助 主機相關設定，並建置即時監控系統，偵測網路異常與告警機制；並提到該公司 已強化捐款系統的用戶帳號登入安全。包括採取限定IP位址登入，並增加圖形認 證與雙因素驗證，以避免外部人員竊取帳號密碼入侵。此外，網軟也提及將持續 進行機敏資料加密。 而網軟也向我們說明，過去有些用戶可能設定長度不足又簡單的弱密碼，因此他 們現在也提醒用戶，要注意密碼設定問題，而網軟也在系統上新增了雙因素驗證 機制，讓用戶可搭配簡訊OTP來驗證，強化系統登入安全。 從上述這些資安強化內容來看，網軟系統在基礎資安防護上，似乎過去仍有一些 不足之處，例如系統登入相當缺乏安全防護機制。儘管該業者主要服務的對象是 非營利組織，但攻擊者顯然並未因此放過他們，而這樣的資安事件，不僅是對於 其他慈善組織，以及這類型的資訊服務商，都是一個警惕，也突顯任何使用資訊 與IT技術的各類型企業與組織，都需要同時考量到資安。 另外，由於網軟至今並未對外公告發生資安事件，因此這次資安事件的影響範圍 ，仍令外界感到憂心。是否只有捐款系統發生資料外洩情況？畢竟，我們從該公 司網站公開的案例，可以看到他們的客戶，不只是多個愛心協會，像是在線上金 流整合服務中，屏東縣政府也是其客戶，因此，是否各產品服務的所有客戶，都 受此次資安事件影響，遭遇資料外洩情形，勢必也都要有所清查。 https://imgur.com/HAheJ2l 在網軟官方網站上，已在8月3日發布刑事警察局的反詐騙宣導，但至今還沒有對 外公布遭駭客攻擊與資料外洩的資安事件。 https://imgur.com/Mnjsmhg https://imgur.com/OoD5GBM https://imgur.com/yUj1rnF https://imgur.com/ihbVvqQ 近期已有許多愛心機構緊急發布反詐騙宣導，少數機構則說明是社福組織使用的 捐款系統廠商遭駭，而在「迦南身心障礙養護院的臉書粉絲專頁」上，傳達了他 們接獲網軟公司的資安事件通知，當中指出要他們提醒捐款人小心詐騙，並說明 該公司現有的資安事件應變措施。（圖片來源：擷取自各愛心協會臉書粉絲專頁 ） 對於相關愛心協會的捐款民眾而言，當心假冒其名義的詐騙，並注意信用卡盜刷 風險 另一方面，為了因應捐款資料外洩可能衍生的風險，包括ATM相關詐騙與信用卡 盜刷，網軟也向相關愛心協會發布通知，請他們務必通知捐款人注意。 對於使用信用卡捐款的民眾，需注意盜刷風險。雖然海外盜刷方面其實收單銀行 自行就可能偵測到並阻擋，但民眾自身還是要留意不明刷卡記錄，一旦發現，應 儘速向銀行反應，通常待銀行查證屬實後，消費者無須負擔被盜刷的費用。網軟 指出，銀行端會幫助留意盜刷之外，但從目前詐騙現況來看，最不容易被追回詐 騙款項的管道，還是ATM操作，還有臨櫃匯款或網路銀行轉帳。因此他們也呼籲 相關愛心協會需儘速向捐款人通知，而網軟也會協助機構發送防詐騙簡訊與電子 郵件。 還要注意的是，詐騙集團會不斷翻新詐騙話術，也會改趁民眾無法確認的時間來 詐騙。例如，網軟表示，近期詐騙集團假冒愛心協會客服人員，就開始利用愛心 協會遭駭的消息，再向捐款人騙稱需核對個資與信用卡資料，進而騙取相關資訊 ；另外，近期國內媒體揭露鎮瀾兒童家園均款人遭詐騙，也運用新的手法：詐騙 集團利用協會下班時間，趁著晚上打給捐款人。 對於各愛心協會的因應情形，網軟也提到相關現況。基本上，大多數協會都很積 極通知捐款人，因為這些協會可能已經接獲相當多起民眾詢問。不過他們提醒， 詐騙集團可能一波一波發動詐騙，因此要持續提醒民眾。 但也有愛心協會仍害怕向民眾宣導，因為這樣可能讓民眾變得不敢捐款。然而， 捐款個資外洩情形已經發生，坦然面對更重要。畢竟，已有受害機構工作人員表 示，許多捐款民眾通報接到冒用機構名義來電的詐騙，且對方能夠說出捐款日期 、捐款者姓名或名義，以及捐款方式等。若捐款民眾不知道狀況，帶來的衝擊與 影響其實是更大。 https://imgur.com/vOwTTjR https://imgur.com/p3ReXf5 在8月初，刑事警察局發出詐騙活動的預警，引發高度關注，因為165反詐騙專線 受理的解除分期付款詐騙案中，有27件的通報對象竟然是民眾做愛心的慈善捐款 協會遭到冒名，警方並指出，詐騙方掌握了捐款人姓名、電話、捐款金額等資料 ，藉此取信被害人。最初民眾通報的對象，包括「台灣樂作創益協會」、「中華 育幼機構兒童關懷協會」、「弘化同心共濟會」、「臺灣防盲基金會」、「中華 民國兒童癌症基金會」，以及「愛盲基金會」等。接下來，月初出現多起通報的 還有「育成社會福利基金會」、「第一社會福利基金會」、「沐風關懷協會」、 「微客公益行動協會」與「導盲犬協會」，到了8月中旬（至16日止），警方統 計，已經多達35家假冒這類的愛心慈善協會的詐騙，當時接獲超過120件民眾報 案，財損更是超過1600萬元。後續，國內媒體報導相關詐騙案的還有，假冒「大 甲鎮瀾兒童家園」、「花蓮黎明教養院」、「迦南身心障礙養護院」、「聯合勸 募」等。 【8月26日更新資訊】 儘管網軟透露有限，是否還有更多可供外界參考的資訊？由於「迦南身心障礙養 護院」的臉書粉絲專頁有揭露網軟發出的資安事件通知，因此，我們也進一步瞭 解情況。該機構表示，迦南本身是在7月28日開始接到捐款者詢問的電話，得知 有冒名詐騙的情況，且對方掌握民眾的捐款資訊，因此，迦南在7月29日向網軟 反應問題。7月30日，網軟回應表示可能是迦南的內網不安全。 顯然，網軟在7月底一開始還沒有意識到問題。到了8月2日，網軟則聯繫迦南， 表示要幫忙寄送防詐騙宣導簡訊，然後8月3日向他們表示遭駭客入侵。這段期間 ，應該是刑事警察局已經接獲大量愛心協會詐騙案，聯繫網軟後才有接下來的應 變。之後，網軟每隔幾天開始向協會發出通知信，說明當前狀況及因應措施。 除此之外，不具名資安專家表示，從網軟與NPO客戶信件往來的內容，推測該公 司的服務可能被上傳惡意程式，也就是基本的上傳漏洞（File Upload），使得 攻擊者可以控制伺服器或撈取資料庫原始碼等。不過，這是從有限資訊中的側面 推測，詳情還是要等刑事警察局或網軟來說明。 https://imgur.com/F1NokMU 這起事件持續危害持續擴大，在8月26日，國民黨立委林奕華與民進黨立委邱泰 源聯合多個社福團體召開「公益有愛 避免受害」記者會，包括「中華民國兒童 癌症基金會」、「中華民國心臟病兒童基金會」、「瑞信兒童醫療基金會」與「 台大兒童健康基金會」出席，共同呼籲捐款人留意詐騙訊息勿上當。林奕華也表 示，這次記者會其實有邀請該資訊業者，但很遺憾他們並未出席說明。（圖片來 源：擷取自立法委員林奕華臉書直播影片） - 萬騙不離ATM，大家自己小心多注意... 165 的被冒名排行榜已經好幾個星期有各個協會了 https://165.npa.gov.tw/#/articles/risk -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.110.137 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1630076255.A.DB4.html