系統有漏洞7所高中遭殃!校務行政系統遭駭勒索

教育部景圖。(李侑珊攝)

國教署於3月12日、14日分別接獲亞昕資訊股份有限公司(以下簡稱亞昕公司)通知,表示接獲駭客以威脅已獲取且將散佈該公司校務行政系統內高級中等學生資料爲由,向該公司勒索費用,該公司向國教署通知並已向警察局報案。國教署於接獲通知後,立即啓動資通安全事件通報、個人資料事件通報、個人資料行政檢查、緊急應變措施及調查作業。

國教署表示,爲釐清駭客入侵攻擊情形,國教署即與資安鑑識專家學者,赴亞昕公司進行數位鑑識,經初步清查發現,駭客系透過某校系統漏洞,入侵主機,成功執行惡意程式,進而竊取該所學校帳號密碼,並以該組帳號密碼,成功登入其他6所使用亞昕公司之高級中等學校校務行政系統學校,並竊取該等學校學生個人資料。

國教署說明,經初步鑑識,發現僅有遭到外部下載學生個資操作動作,並未發現新增、刪除等操作行爲。另有關於各該學校校務行政系統之學生學習歷程檔案,依據目前鑑識狀況,並未發現被竄改、刪除的軌跡,但爲確保學生權益,須審慎確認校內學生學習歷程檔案的保全,國教署已組成專業小組啓動與亞昕公司簽約的26校之學生學習歷程檔案資料之正確性覈對,持續進行LOG檢視及資料比對作業,預計於113年4月8日前完成清查。

國教署表示,就學生個資外泄部分,國教署將依據個人資料保護法第12條規定請學校通知當事人,並呼籲各該學校學生近期注意自身個人資料有無被盜用情形,如有發現亦請儘速向學校反映;除前述7所受影響學校外,全國高級中等學校使用亞昕公司單機版校務行政系統之學校尚有19所,國教署爲掌握其餘學校個資外泄情形,即刻進行數位鑑識,並與各該教育行政主管機關合作,協助各該學校持續強化資通系統安全能力,並落實校內個人資料保護,以維護學生權益進行各項保護措施。