 |
國道計程收費制今年1月起上路,eTag收費系統也同步改版,但負責國道電子收費業務的遠通電收接連發生資安事件,除了1月1日當天,ETC App網站遭DDoS分散式攻擊而一度停擺,隔周1月7日再傳資安事件,遠通電收官網主機遭到入侵,管理帳號資料被公布在網路上,該公司1月7日當天緊急關閉網站維修,目前已恢復網站服務,並證實確實遭到攻擊,但宣稱用戶資料並未外流。資安專家指出,資安事件反映出遠通電收主機管理出現嚴重缺失,嚴重的話甚至可能導致用戶資料外流。
計程收費剛上路,ETC App遭DDoS攻擊大當機
交通部高速公路局從今年1月1日開始實施國道計程收費制,遠通電收的ETC App配合計程收費制也在1月1日改版上線,但新制剛開始實施,遠通電收就發生用戶無法申裝、eTag用戶重覆扣款等問題,ETC手機App在上路第一天更因遭受DDoS攻擊而停擺了3.5小時。
遠通發出新聞稿說明,1月1日國道計程收費電腦系統轉換作業後,從當天上午11點開始,計程收費App陸續遭受到來自不同IP位址的持續性攻擊行為,在3個半小時內累積82億次攻擊,平均每1秒鐘高達65萬次的惡意攻擊,導致當天系統效能緩慢,為保護用戶資料安全,遠通一度關閉App服務系統,以維持其他系統正常運作。遠通強調,包括申辦、查詢等計程收費系統服務皆未受到影響,第一時間已啟動安全機制,用戶資料沒有流出,同時已向警方報案展開調查。
雖然強調只有App暫時停止服務,其他服務未受影響,但官方網站連線異常,遠通解釋是因為App停擺後,不少用戶改透過網站使用查詢服務而使網站連線變慢,並非連帶受到攻擊。
官網Apache設定檔遭竊,管理帳密有外洩風險
不過,隔周的1月7日,遠東電收發生了另一起資安事件,傳出主機遭到入侵,網站主機的管理帳號資料被公布在駭客論壇上,包括了遠通電收官方網站的Apache網站伺服器目錄資料及管理者帳號密碼資訊。
遠通電收對外坦言,官方網站在1月7日凌晨就發現有來自國外IP 位址的攻擊,中午確認問題存在後,當天下午1點關閉網站維修,修改密碼和優化程式,並阻擋不良意圖的流量,當天傍晚即恢復網站功能。
遠通表示,被取走的只有管理者帳號資料,密碼並未被取走,已向警方報案,同時提供細節資料,強調官網與交易系統獨立,網站上僅有宣導及QA內容,並沒有用戶資料。
不過,戴夫寇爾執行長翁浩正表示,從被公開的資訊來判斷,這是一個利用本地檔案讀取(Local File Inclusion,LFI)的漏洞,駭客可利用利用../語法發動Directory Traversal攻擊,透過網址相對路徑來下載系統根目錄下的其他檔案,連儲存加密過密碼資料的Shadow檔案也有被竊的風險。
遠通網站被入侵仍吸引不少網友的熱烈討論,有技術背景的網友指出,被輕易取得Linux主機上根目錄的資料,應是權限管理上的疏失,若連帶取得Shadow的加密過密碼資料,可能取得網站主機的管理權限,eTag用戶資料可能連帶外流。
雖然遠傳否認用戶資料外流,但有網友質疑網站主機帳號資料被取得,可能取得主機管理權限,進一步透過其他方式取得用戶資料,資料是在1月6日被公佈出來,無法保證在此之前駭客是不是早已取得大量的用戶資料。
趨勢科技資深技術顧問簡勝財指出,由於沒有實際對遠通作實際調查,無從了解遠通內部系統的真實情況,因此只能就一般狀況來談。他表示,一般而言,外人能以一些指令輕易的找到主機根目錄上的資料,那麼在權限管理上便有問題。如果駭客取得包含管理帳號或是內部程式人員使用帳號的Passwd檔,搭配Shadow檔透過工具去破解,有可能取得主機最高管理權限。
至於eTag用戶資料是否可能外流,簡勝財認為有此可能,但還要看網站是否提供相關的用戶交易服務,遠通內部是如何設定網站存取資料庫,以及駭客對系統的掌握程度。
他建議,資安事件發生要委託專業團隊調查是否有網站主機存在弱點,例如哪些檔案可能被外傳,若有發現異常也會同時去檢查其他機器是否也有被存取的跡象,以及檢查是否被駭客放入工具程式,基於這些資訊去作改善系統的安全。文⊙蘇文彬、王宏仁
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-08
2025-01-06
