遠通電收網站被駭，主機管理資訊在網路被公開

遠通電收再傳資安事件，周二（1/7）官網主機遭到入侵，管理帳號資料被公佈在網路上，該公司在1月7日緊急關閉網站修復問題，目前已恢復網站服務，證實確實遭到攻擊，但用戶資料並未外流。該事件也引發網友討論，指主機管理上出現嚴重缺失，嚴重的話甚至可能導致用戶資料外流。

國道計程收費制今年1月起上線，但新制剛開始實施，負責國道電子收費業務營運的遠通電收就發生用戶無法申裝、eTag用戶重覆扣款等問題，ETC手機App也遭到分散阻斷攻擊而一度停擺，本週遠通電收網站也傳出主機遭到入侵，網站主機的管理帳號資料被公佈在網路。

遠通電收說明，1月7日凌晨發現遭到國外IP位址的攻擊，中午確認問題後，即啟動安全機制，下午一點關閉網站，修改密碼、優化程式，同時阻擋不良意圖的流量，當天傍晚即恢復網站功能。

遠通指出，被取走的只有管理者帳號資料，密碼並未被取走，已向警方報案，同時提供細節資料，強調官網與交易系統獨立，網站上僅有宣導及QA內容，並沒有用戶資料。

遠通網站被入侵仍吸引不少網友的熱烈討論，有技術背景的網友指出，被輕易取得Linux主機上根目錄的資料，應是權限管理上的疏失，若連帶取得Shadow的加密過密碼資料，可能取得網站主機的管理權限，eTag用戶資料可能連帶外流。

儘管遠通否認用戶資料外流，但有網友質疑網站主機帳號資料被取得，可能取得主機管理權限，進一步透過其他方式取得用戶資料，資料是在1月6日被公佈出來，無法保證在此之前駭客是不是早已取得大量的用戶資料。

趨勢科技資深技術顧問簡勝財指出，由於沒有實際對遠通作實際調查，無從瞭解遠通內部系統的真實情況，因此只能就一般狀況來談。他表示，一般而言，外人能以一些指令輕易的找到主機根目錄上的資料，那麼在權限管理上便有問題。如果駭客取得包含管理帳號或是內部程式人員使用帳號的Passwd檔，搭配Shadow檔透過工具去破解，有可能取得主機最高管理權限。

至於eTag用戶資料是否可能外流，他認為有此可能，但還要看網站是否提供相關的用戶交易服務，遠通內部是如何設定網站存取資料庫，以及駭客對系統的掌握程度。

他建議，資安事件發生要委託專業團隊調查是否有網站主機存在弱點，例如哪些檔案可能被外傳，若有發現異常也會同時去檢查其他機器是否也有被存取的跡象，以及檢查是否被駭客放入工具程式，基於這些資訊去作改善系統的安全。