7所高中遭駭客入侵「學生個資外洩」!教育部:學習檔案未遭竄改
ETTODAY
記者許敏溶/台北報導
教育部國育署日前接獲通報亞昕公司,駭客威脅散佈該公司內的高中生資料,欲勒索費用
。國教署今(29日)表示,已經啟動資安通報,並派人進行清查,初步發現為駭客利用某
校系統漏洞入侵後,共竊取7校學生個人資料,但沒有發現被竄改、刪除的軌跡,學生學
習歷程檔案未遭竄改,國教署已組成專業小組進行資料正確性核對,預計在4月8日前完成
清查。
國教署指出,在3月12日、14日,分別接獲亞昕公司通知,表示接獲駭客以威脅已獲取且
將散布該公司校務行政系統內高中生資料為由,向該公司勒索費用。該公司向國教署通知
並已向警察局報案。國教署於接獲通知後,立即啟動資通安全事件通報、個人資料事件通
報、個人資料行政檢查、緊急應變措施及調查作業。
國教署表示,為釐清駭客入侵攻擊情形,國教署隨即和資安鑑識專家學者,前往亞昕公司
進行數位鑑識。經過初步清查,發現駭客是透過某校系統漏洞,入侵主機,成功執行惡意
程式,進而竊取該所學校帳號密碼,並以該組帳號密碼,成功登入其他6所使用亞昕公司
的高級中等學校校務行政系統學校,並竊取該等學校學生個人資料。經過初步鑑識,發現
僅有遭到外部下載學生個資操作動作,並未發現新增、刪除等操作行為。
國教署進一步說明,有關各該學校校務行政系統的學生學習歷程檔案,根據目前鑑識狀況
,並未發現被竄改、刪除的軌跡,但為確保學生權益,須審慎確認校內學生學習歷程檔案
的保全,國教署已組成專業小組,並啟動與亞昕公司簽約的26校學生的學習歷程檔案資料
,進行正確性核對,以及進行LOG檢視及資料比對作業,預計在4月8日前完成清查。
針對學生個資外洩部分,國教署表示,將根據個人資料保護法第12條規定,請學校通知當
事人,並呼籲各該學校學生,近期注意自身個人資料有無被盜用情形,若有發現請盡速向
學校反映。
除了上述7所受影響學校外,國教署指出,全國高級中等學校使用亞昕公司單機版校務行
政系統還有19所學校,國教署為掌握其餘學校個資外洩情形,即刻進行數位鑑識,並與各
該教育行政主管機關合作,協助各該學校持續強化資通系統安全能力,並落實校內個人資
料保護,維護學生權益進行各項保護措施。
https://www.ettoday.net/news/20240329/2709886.htm