多數媒體誤報！銓敘部外洩個資並不含手機號碼在內

銓敘部外洩59萬筆公務人員個資，影響超過24萬名公務人員的資安事件，因為包含許多國家情治人員的資料也在外洩清單中，行政院資安處亦將此資安事件定義為「第三級資安事件」，後續影響餘波盪漾。

其中，有多家臺灣媒體報導，此次外洩個資中，除了姓名和身分證字號外，還有個資當事人的手機號碼。但iThome持續追蹤後發現，這一個疑似手機號碼的外洩個資，根據不具名資安專家推測表示，這組號碼其實是針對外洩資料建立系統檔案時常見的手法，「這個編碼CNO Codes可能是一個類似時間戳記的索引或流水序號，並非外傳的手機號碼。」該資安專家說道。

銓敘部外洩個資的疑似手機號碼，其實是一種時間戳記或某種流水序號

這一份在網路上流傳的銓敘部外洩公務人員個資中，確定的個資資料包括：姓名和身分證字號，其他還有包括該公務人員任職的機關名稱、機關編號（Organization Codes）、職位編號（Job Numbers）以及職稱等。如同一位現任公務人員所言：「這些個資其實是一種職務履歷，主要是可以追蹤公務人員的升遷與職務異動，但可作為他用的個資，仍以姓名和身分證字號為主。」

不具名資安專家表示，為什麼會出現個資的資料筆數，最後比公務人員人數還多的情況，就是因為只要在2005年～2012年6月30日期間，公務人員有任何職務升遷異動時，每一次的職務異動，都會在該外洩個資的資料庫中新增一筆資料。這就是為什麼會出現有一些公務人員在該外洩資料庫的資料中，會因為多次升遷而有多筆資料。

因為，只要有姓名、身分證字號如果加上手機號碼，就可以完整追蹤到當事人。因此，該名資安專家在掌握該份外洩個資後也發現，這個疑似手機號碼的數值，其實和該筆資料建檔的時間有高度關連性。也就是說，如果前面是0962xxxxxx，只要同時比對該筆資料的建檔時間，就會是民國96年某月某日建檔。

他也推測，這樣的作法，應該是駭客在資料庫建檔時，會習慣性使用時間戳記或流水序號，作為資料庫的目錄及索引（Index）之用。他說，若同時比對到民國101年某年某月建檔的資料時，原本疑似手機號碼的欄位，也會同步變成101xxxxxxx，就打破外界認為096xxxxxxx是外洩公務人員手機號碼的疑慮了。

另外有資安專家提出疑問，駭客通常不會使用民國紀元，這一欄的數字疑似電子公文的編號。但iThome經與同時在此份銓敘部外洩個資名單中，但目前人仍在職的公務人員確認，這個疑似手機號碼的數字，與政府電子公文發函的公文編號格式不符，也與該名公務人員每一次職務異動時的銓敘部函號無關。

此外，外洩個資中，除了公務人員的身分證字號，其實也有另外一組小寫英文字母開頭、後面帶有9個數字的「疑似身分證字號」，該名資安專家則推測表示，這串數字其實是建立該筆個資資料的建檔人員編號（CRT Usernames），因為數字格式和臺灣身分證字號的格式類似，容易造成誤解。

銓敘部公務人員個資外洩事件，列為政府次嚴重的第三級資安事件

根據行政院公布的「資通安全事件通報及應變辦法」規定，資通安全事件分為四級，第一級最輕微、第四級最嚴重，此次銓敘部外洩個資屬於該法規定中「未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏」的第三級資安事件類別。

依據「資通安全事件通報及應變辦法」的規定，銓敘部除了要在獲知個資外洩的36小時內，完成損害控制或復原作業後，應該持續進行資通安全事件的調查及處理，並於一個月內依主管機關指定的方式，送交調查、處理及改善報告。

由於目前銓敘部公務人員個資外洩的資安事件，已經由法務部調查局以及臺北市調處立案調查中，行政院資安處處長簡宏偉表示，基於偵查不公開原則，資安處不方便對此一資安事件有相關評論。