台大意識報

潛藏身邊的隱形破口 – 校園內資訊安全的檢討

·

by

意識報網站組

2021年晚間7點50分,一位同學在臉書社團NTU台大學生交流版發文,發現在台大師培中心教程報名系統上,只要輸入學號後就可以看到身分證字號、電話與戶籍地址等個人資料,過程中不需經過任何身分驗證程序。儘管經學生通報後已在當天凌晨下架此一系統,但在事件之後,受影響同學無法充分被告知自己的個資是否有被他人查詢或有外洩的紀錄。

資訊安全,乃至於隱私權的重要性,是為了保障我們的個人資訊免受外流或惡意人士的侵擾,它保障的是一種「潛在」的權利,每個人都有不被侵害的自由,儘管現實中某人無意識或者認為個資外洩不會受到太多影響,這個權利仍然被保護。同時在數位化時代,瑣碎的個人資訊仍可以拼湊出一個人的生命背景,而當事人可能無從得知,我們也無法保證是否會有惡意人士利用這些資訊達到不法目的,也使得受影響的當事人可能因此而活在恐懼之中。資訊安全的目的乃是以「機密性」、「完整性」與「可用性」三個角度切入,意在保護社群或組織內的敏感資料不受外流、不受他人惡意地修改與確保資料可不間斷受取用。1

本篇報導以近年台大爆發的數起個人資料漏洞事件,搭以對曾經手案件的何雨忻前學生會福利部副部長採訪,試圖勾勒出校方在資安處理上的疏漏與改善之可能。

一、資安事件的爆發與處理

  • 事件一

2020年8月21日,109學年第一學期第一階段選課結果公布前,教務處內部提供給職員進行檢核的系統連結外流,並被學生公開轉載,該系統使任何人得以他人學號逕行查詢其選課結果,甚至能進一步查詢到性別、入學身份別(繁星、學測、指考與其他入學管道2)、雙轉輔系所、身份證字號等個人私密資訊。

  • 事件二

一週後,8月30日,再次發生學分抵免申請系統的個資外洩事件,雖然供各系審核學分抵免申請的系統需以教務處承辦人員的計中帳號認證,但一般學生透過自身計中帳號登入後,即會被當成該生所屬科系的承辦人員。此系統上的漏洞,導致任何學生皆可查閱所屬系所的全部學分抵免申請資料。事件爆發後,教務處並無任何補救措施,僅在官網發佈了一篇公告 ,並沒有對於個人資料可能受到侵害的學生盡到吿知義務。針對教務處回應此事件的態度,學生會福利部(現為學權部)發文質疑校方不採用〈國立臺灣大學個人資料保護作業要點〉中關於個人資料受侵害的規範通知當事人,而以透過發佈公告的形式進行對當事人進行告知,另外只就部分資料遭不當瀏覽進行道歉。

  • 事件三

在109學年第二學期,因為疫情而開始的遠距教學期間,台大師資培育中心的教程報名系統出現設計漏洞,在臨時建立、未經嚴格檢驗的系統上,任何人都可輸入他人學號,取得該生之身份證字號、生日、系所、戶籍地址、電話等敏感個資,經同學項資訊組反應後,將該網站緊急下架修正。在進行事件調查期間,發現師培中心系統的資料庫並沒有開啟記錄功能(SQL SELECT query logs),因此未能確認個人資料外洩、權益受損同學的身份,最終師培中心在其網站上以一張公告說明事件發生經過。

以上三起於109學年度發生的個人資料外洩事件中,校方處理方式皆無太大差別。首先,學校釋放出未經嚴格檢核、具有系統漏洞的網頁,使得一般學生在學校系統中的個人資訊或者學習資料外洩;而在經過通報並且危機處理之後,校方並無主動補救措施、亦無盡到主動以詳細資訊通知受影響之個人的責任,僅利用網站公告形式解決,許多人難以獲知個人敏感資料被外洩的權利侵害事實。

二、資安事件背後的系統管理與改善

當時負責處理事件的學權副部長何雨忻表示,校內的資訊系統主要由「計算機及資訊網路中心」以及「教務處資訊組」兩單位管理維護,目前資訊組管理的系統多達177個。另外,尚有其他不屬於以上兩單位開發負責的系統,如NTU COOL的獨立開發團隊屬於台大數位學習中心教學科技組,而圖書館資訊系統也是委外開發,但大多數教務處以及共同教育中心業務所需的行政系統,都會委由上述兩單位開發,而109學年度的三起資安事件也是源自此類行政系統的漏洞。

在教程報名系統的資安事件發生之後,本校智財權與個人資料保護暨安全管理委員會召開,學生會代表出席並且了解資訊組對於109學期三起資安事件的報告。根據資訊組報告,在資訊組主責的177個系統之中,有150多個系統屬於平時會在公開網頁上發布的「對外服務系統」,其中又有50多個系統是安全等級最高的「核心系統」。資訊組在會議中表示,會在這一年對掌管的所有系統進行「弱點掃描」,並逐年對所有對外服務系統以及核心系統分別進行「原碼檢測」及「滲透測試」。

弱點掃描運用自動化工具,可在短時間內找出系統漏洞,然而,弱點掃描對於上述三起事件的驗證邏輯問題不一定能有效,也不像滲透測試一樣可以針對弱點去驗證系統的防禦程度,原碼檢測以及滲透測試成本都是較高的,原碼檢測尚有自動化的軟體可以使用,資訊組也曾向資計中心商借原碼檢測軟體掃描部分系統進行檢驗,但是部分重要系統的潛藏漏洞、驗證以及安全性評估仍需要委託專業公司進行人工的滲透測試,模擬駭客攻擊狀況,才能有更完善的修補建議以及資訊安全保障。

三、資安事件處理未盡的缺失

當校內資安事件發生時,其處理流程涉及的規定有《個人資料保護法》(以下簡稱個資法)與本校之《國立臺灣大學個人資料保護作業要點》(以下簡稱個資要點)。個資法第一條便提到其規範內容為個人的資料蒐集、處理與利用,並保障人格權不受侵害而制定,關於任何機關,只要違反個資法的規定造成個資外洩時,應當查明後以適當方式通知當事人,3而其中適當方式,依照同法施行細則第二十二條,可以言詞、書面、電子郵件等足以使當事人了解的方式,然而其但書也表明若前述所費過鉅者,可使用網路等公開方式,但必須考量到技術的可行性與當事人隱私的保護。而本校之個資要點第六條中也闡明當本校有個資受竊取、洩漏或竄改等情形,應當由外洩單位通知「個人資料保護聯絡窗口」並如個資法所言「以適當方式通知當事人」,又個人資料保護聯絡窗口依照同要點的第三條為「秘書室」。4

因此我們可知,當個資外洩事件發生後,不論依照個資法或本校個資要點的規定,都應查明後以適當方式通知當事人,雖其適當方式在本校個資要點中並沒有清楚表示,但仍應依照更上位階的個資法與其施行細則為適用。而本校在處理近期資安問題時,僅於網站的公佈欄上貼了一紙公告,而這樣的措施是否符合施行細則第二十二條的「因需費過鉅而以網路等公開方式」為之的條件?當事人又是否知悉其受侵害的事實或校方所採取的因應措施?更甚者,此類公告在一段時間後便會從網站上撤下,在事件當中也未曾見到秘書處有任何相應措施,校方對於個人資料的保護似乎僅存於法條文字之上,此種「對空氣講話」的方式顯然對法規範與相應處理流程視若無睹。

四、改善與防範

回到可避免此類事件再次發生的措施,透過與個資法連結,並參考與他校關於個資發生事件相關的處理流程,學生會學權部提出了可能的改善建議。5個資法與校內關於個資保護的作業要點已如上述,秘書室應作為在個資事件中與學生聯絡的窗口,也需要與教務處合作寄發全校性的郵件告知事件的發生經過、受影響的對象、校方後續的處理措施與可能遭外洩的資料、事後可尋求協助的單位等。他校的例子,如交通大學(現陽明交通大學)曾依照個資法之規定6,制訂《個人資料權利行使作業程序書》,明確規定當事人的認定、可行使的權利、處理流程等,並附上申請書與作業流程圖,便於當事人使用。

何前副部長也提到,去年事件發生後,資訊組曾有承諾會提出學校系統從開發到上線的流程改善,另外也去商借了檢測網頁原始程式碼的軟體,此外,教育部也會針對全臺灣的大學學術網路做稽核,試圖去尋找外在的漏洞並予以改善建議,然而此類方式僅能檢測出網站明顯的缺陷,對於設計上的邏輯問題較難找出。何前副部長建議,希望學校可以透過類似「Bug Bounty」7形式,提供一些獎金的誘因,能讓擅長資訊的同學能夠協助校方填補這些漏洞。同時,學生會也會協助校方建立一套處理流程,以防止此類事件再次發生時能妥善處理。

五、結語

在學校,學生的資訊彼此相連,若一名同學的個資受到外洩,勢必導致與其相關的人的權益也遭受侵害。學生將個人資訊託付給學校,校方作為管理學生個人資料的機關,應對所受托管理的資料做相當程度的維護,而當資安事件發生時要依照相關程序做積極補救,更要通知受影響的同學,否則「資訊安全」僅淪為一句口號。而近年來發生的資安事件,從課表被看見可能造成惡意人士預測個人行蹤、受到騷擾,到身分證字號可能受到不法運用,甚至是入學身分別被公開而造成特定群體學生的心理壓力等,而校方似乎想以一紙公告息事寧人。

回到相應的改善措施,上述提到的Bug Bounty,其實便類似開放原始碼軟體(簡稱「開源」),源於社群一體的概念,透過社群的努力集體維護特定目標,除維護軟體的安全,防止有心人士惡意侵害個人隱私,亦可助其永續與創新,此外也透過社群成員與提供者間對等的合作,增進軟體的開發且避免技術的壟斷。此種方式或許可作為校方處理資安事件的預防與參考,在測試相關系統時,便可採取相關開源的形式,開放部分原始碼予學生或有技術長才的人檢視,相信更可避免資安事件層出不窮。

在風波平息之後,學生更不能停止對於校內資訊安全的關注,校內系統的問題不單僅來自於網頁設計,也來自對於個人資料外洩風險的不在意,學生反思這些資料的重要性,搭配校方對於資安事件的預防與後續適宜地處理,相信對於未來資訊安全的保障可以向前一大步。

註腳

  1. 參閱:【從零開始學資安 – 什麼是資訊安全?】,Hannah Lin,網址:https://reurl.cc/dXvDXy ↩︎
  2. 其他入學管道如:原住民、離島生外加名額或障礙生名額。此類管道在政策面被稱為「升學優待政策」,然而「優待」一詞已充分顯露不平等的權力關係,透露出國家恩給式的視角,反而不能彰顯其作為「矯正歧視」的目的,故本文不使用此說法,亦不將其他入學管道限縮於此範圍。 ↩︎
  3. 個資法第十二條參照。 ↩︎
  4. 《國立臺灣大學個人資料保護作業要點》第三條:「⋯⋯『個人資料保護聯絡窗口』為秘書室,負責本校個人資料業務協調聯繫、個人資料安全事件受理及通報,以及重大個人資料外洩事件之民眾聯繫單一窗口。⋯⋯」 ↩︎
  5. 學生會學權部,《台大個資法制改善建議》,2021年6月9日,https://reurl.cc/emlVYQ ↩︎
  6. 個人資料保護法第3條:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」 ↩︎
  7. Bug Bounty Program:在企業的資安檢測中,透過研究人員的漏洞回報,以使企業能提供更有保障的產品與服務,參見:【Bug Bounty概念席捲全球,臺灣也有企業實際應用】群暉跟上全球腳步,推出安全性弱點獎金計畫。網址:https://www.ithome.com.tw/news/126021 ↩︎

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *