原标题:15年薪资老系统为何出包?北市薪资报表外泄关键大剖析
雅虎搜寻上可以找到台北市政府部分局处单位的员工薪资报表连结,目前已经无法存取,主要原因在于,系统太老旧,难以躲避搜寻软体追蹤,加上预设不用再行输入帐号密码即可下载报表,才造成此次资安事件。
台北市资讯局在9日获警局通报员工薪资资料外洩后,紧急在10分钟关闭薪资发放管理系统展开调查,但外洩事件隔天引起媒体大篇幅报导,纷纷担心7万员工薪资资料都曝光,资讯局在11日上午对外召开记者会说明事件始末,因为15年老系统的设计盲点,导致搜寻工具取得报表下载网址而酿灾,资讯局也澄清,只有190笔报表连结外洩,而非媒体披露的全北市员工规模。为何这个15年前开发的薪资发放管理旧系统,不敌现在化搜寻工具技术的演进呢?我们特别专访台北市资讯局局长李维斌,深入剖析这起事件的发生关键,及台北市资讯局后续的资安对策。
外洩190笔北市府薪资报笔连结,免登入就可下载报表内容
台北市政府的「薪资发放管理系统」是由资讯局自行开发设计和维护的系统,主要是台供台北市政府136个机关、252个学校以及台北市议会总共389各单位使用,主要是由出纳人员负责薪资发放、考绩、年终奖金以及其他帐款发放的业务。也因为牵涉範围包含全部台北市政府正职和约聘以及公立学校的人员,媒体报导薪资资料外洩时,也引起一阵恐慌。
李维斌表示,在1月9日资讯局接获通报知道有疑似资料外洩事件后,先将薪资发放管理系统紧急下线,后来再观察的确没有其他资料陆续外洩后,暂时确认有找对资料外洩的源头。
他说,资讯局便在1月10日紧急通报资通安全会报,当初因为以为只有内湖分局的资料外洩,认为是特例,所以初步判定唯一、二级的资安事件,只不过,后来进一步追查发现,除了内湖分局外,还有像是工务局等单位薪资资料外洩;而外洩资料除了薪资、奖金、员工薪转帐户外,也可以看到有一些是身分证字号。因为有牵涉个资外洩,资安会报建议将资安等级提高为三级。台北市资讯局并于1月11日上午召开记者会对外说明。
从雅虎引擎搜寻页面上发现的受骇单位其实不少,目前从搜寻引擎的网页暂存快取页面可以发现,受骇单位包括:台北市建管处、中山堂管理所、台北市公务人员训练处、台北市内湖区公所、台北市文山区健康服务中心、台北市政府交通局、台北市政府地政局等单位,都可以查到不同月份的员工薪津清册。
到底外洩的资料是什幺?李维斌指出,目前台北市资讯局调查的结果,大约有190笔的薪资报表的连结外洩,不过每笔报表的受影响人数并不确定,但可以确定的是,台北市府员工的薪资资料库并没有外洩。
李维斌进一步解释,这些外洩的资料其实是由出纳人员製作的当月薪资报表,以往只有各单位特定人员,有权连上这个放在DMZ区的薪资发放管理系统,输入帐号密码后,可以调阅内网员工薪资资料做成当月薪资报表后,报表完成会就会产生一个报表连结,有这个报表连结的人就可以下载该份薪资报告。
他也说,以往资讯局把有这个报表连结的人,视为是内部人士才可能有这个连结,所以,以前是有连结的人,可以直接下载该档案,「这是一个内部系统存取权限设定错误的案例,才会造成此次薪资报表连结外洩的资安事件。」他进一步解释,这是一种所谓的商业逻辑错误(Business Logic Fault),是一种作业流程或程式逻辑出现的错误,目前用工具的弱点扫描(Vulnerability Assessment?)并无法检测出这类的漏洞,依赖人工的渗透测试(Penetration Test)才比较有机会找到这类的弱点,但往往需要长时间、高频率的检测,也高度仰赖渗透测试工程师的功力,难度相当高。
薪资管理系统老旧难躲搜寻高效能,强制下载档案需再输入帐号密码
台北市资讯局也进一步调查发现,该份外洩的薪资报表连结只有在雅虎搜寻引擎上才找得到,其他包括Google搜寻以及百度搜寻都查不到相关资料。据推测,极有可能是有权製作薪资报表人员的电脑不慎安装雅虎搜寻的工具列,因为这些工具列会记录个人的浏览记录,而雅虎将个人浏览记录与公开搜寻结果混在一起,才造成一般人可以透过雅虎搜寻引擎,找到台北市政府部分局处的员工薪资报表连结并下载。
「台北市薪资管理系统是15年前打造的系统,当年使用ASP开发,为了便利各机关使用,也把系统放在DMZ区,各机关登上这个系统就可以开始製作报表。」李维斌表示,这个系统非常老旧,15年来都只能编列维护费用,当初因为VPN太难使用,也没有採用VPN连网存取的设计,但随着搜寻技术的进步,即便资讯局已经在robots.txt的语法中写「disallow all」限制搜寻引擎的爬虫,不要将该内部系统做搜寻结果的目录索引,但事实证明,仍很难避免地让该系统曝露在可以被部分搜寻引擎搜寻到的风险中。
李维斌表示,第一时间将薪资发放管理系统下线后,为了确保资料安全,再度上线时,则多了一到存取权限控管,即便有了报表连结,若要下载该份资料时,必须再度输入帐号密码后才能下载。此外,从目前网路上都连不上这个薪资管理发放系统来看,资安专家表示,北市府资讯局在网路防护上也做了紧急处置,从防火墙先档下所有外部存取的连线,未来将可以统计机关IP再行开放。
北市府将陆续汰换老旧资讯系统,强化市府资讯安全
李维斌表示,不只是薪资发放管理系统老旧,迄今已经上线15年,许多早期的系统架构加上没有纳入资安考量,许多老旧系统都是市府资安的未爆弹,不知道什幺时候又可能再度发生类似的资安事件。
但他也说,依照台北市政府的状况,已经无法只是维修老旧系统,扫除这些资安地雷,所以,今年资讯局已经比去年多编列大概6千万元的预算,希望逐步汰换一些已经是高风险的老旧系统。李维斌表示,台北市议会已经通过资讯局预算,今年比去年新增2,314万元,资讯局确认优先汰换老旧的薪资发放管理系统,其他预计汰换的系统还包括2005年打造的台北市单一登入的入口网等。
除了资讯局逐步汰换老旧系统换,资安专家认为,目前市府已经限制从外部网路连上薪资系统(orgsalary.taipei.gov.tw),不论是设白名单、限制特定IP存取,或者是先暂时从防火墙断所有外网连线都是有效损害控管的方式,但是若要进一步确认这些薪资档案遭到多少人下载成功,要可以查看薪资网站的日誌记录,查看只要有连到该网站的外部IP,而且有下载相关文件成功的纪录,可以试图从Log记录分析这些薪资报表资料的外洩程度。
资安专家表示,北市府遇到的资安事件其实是常见的Google Hacking手法,利用搜寻引擎找寻系统的漏洞手法,主要是有很多的网页程式写法不够安全,也可能是知道内部网址,搜寻到网站的目录或档案等资料,甚至可能找到管理者或伺服器的帐号密码等,也会找到一些网站设定档,透过这些资料的分析拼图,就可以入侵某个网站的伺服器。
因此,资安专家建议,要避免内部系统被网路爬虫(Web Crawler)爬走,必须要设置相对应的安全措施与授权方式,如果这个提供内部使用的系统网站必须和提供外部服务的网站放在同一台伺服器上,也必须设定严格的存取控制权限(ACL),只允许白名单的来源存取相关资源。
?
相关:
雅虎搜寻上可以找到台北市政府部分局处单位的员工薪资报表连结,目前已经无法存取,主要原因在于,系统太老旧,难以躲避搜寻软体追蹤,加上预设不用再行输入帐号密码即可下载报表,才造成此次资安事件。 台北市资讯
示意图。 台北市惊爆员工薪资资料外洩,员工薪资资料竟可被Yahoo搜寻找到,台北市资讯局今早指出因薪资管理系统老旧导致这起事件,经盘点后仅190笔资料外洩,已通知可能受影响的员工提高警觉心。日前北市府员工使用
【2017关键趋势:Container】Docker迈入稳定成长期,大型云端企业比新创更爱用
根据基础架构监控服务业者Datadog的Docker导入率普查结果显示,在2015年5月到2016年5月这一年间,使用私有云或公有云技术的企业,Docker导入率成长幅度超过30%。 图片来源: iThome 容器风潮火热,大型公有云厂商G
2017 年内衣行业两大关键词:运动休闲 舒适至上
运动休闲和舒适至上或将成为 2017年内衣行业的主要趋势。运动休闲介于运动和街头休闲的风格之间,会在新的一年继续影响内衣的颜色、裁剪和技术细节。 但是无论如何创新
十年前的今天,美国苹果公司发表第一款智慧型手机iPhone。十年后,iPhone不仅定义现代经济,也改变了软件、音乐和行销等市场。但当年若没有美国政府、美军及欧洲政府相助,iPhone恐怕不会出现。众所周知,苹果的幕后