國內簡訊代發平台EVERY8D疑遭駭 個資外洩引安全疑慮

國內最大簡訊代發平台疑遭駭，引來各界關注。（下載自pexels）

〔記者邱巧貞／台北報導〕國內資服業者互動資通（Teamplus）日前疑似遭受網路攻擊侵駭，導致旗下EVERY8D簡訊代發平台服務中斷及疑似用戶個資外洩，數位發展部數位產業署已於2日進行個資實地行政檢查，並將儘速釐清該公司相關個資保護措施是否符合法令規範，以維護民眾權益。

由於EVERY8D部分客戶曾使用該平台發送一次性驗證碼（OTP），作為網站登入時的身分驗證機制，因此引發了OTP機制的安全疑慮問題。

對此，資安署表示，由於OTP密碼具時效性，一般在發送後3到5分鐘之內就會失效，若EVERY8D平台能在事件發生後立即修補原本資安漏洞，讓駭客無法繼續盜取該平台發送的簡訊內容，風險亦相對較低，仍提醒民眾需注意，自身帳號近期是否有異常登入情形，並適時採取更換密碼等防護措施，以提升帳號安全。

資安署回應也引來科技公司執行長何俊炘在臉書發文評論。他表示，「話音剛落、猶言在耳，國內最大的OTP簡訊驗證平台就傳出遭駭事件。駭客站在上帝視角，不需要社交工程，也不需要SIM Swap（SIM卡挾持），直接進入平台就能將相關資訊看得一清二楚。」

何俊炘指出，數發部表示OTP驗證碼的時效通常僅有3至5分鐘，但若從駭客角度來看，可能會認為「沒關係，你慢慢來，我給你1分鐘先去看看自己的帳戶」。他進一步表示，此次攻擊是典型的Single Point of Failure（單點故障，簡稱SPOF），顯示關鍵驗證機制過度集中於單一平台的風險，可能使全台金融與資安體系面臨重大衝擊。

此外，何俊炘早前接受媒體採訪時表示，目前國際間正逐步推動FIDO（Fast Identity Online）標準，包括dMID等方案，便採用FIDO Alliance推動的Passkey機制，提供比簡訊OTP安全級別更高的OOB（Out of Band）頻外身份認證。

對此，資安署表示，自前期「國家資通安全發展方案」（110年至113年）起，即開始推動政府機關導入零信任架構，涵蓋身分鑑別、設備鑑別及信任推斷等機制，以強化政府整體資安防護能力。

資安署指出，為協助各機關導入零信任架構，數位發展部已輔導具有全國性個資或重要資料之47個A級機關導入零信任架構，目前也正持續推動中央B級機關導入相關機制。

此外，為使各機關導入零信任時有適當產品可以選擇，資安院已進行零信任架構之產品驗證。截至115年5月底，已通過身分鑑別產品驗證計22項、設備鑑別產品計12項、信任推斷產品計有3項，作為政府機關導入零信任架構之擇選參考。

一手掌握經濟脈動 點我訂閱自由財經Youtube頻道