Skip to main content
← Back to board (業界新聞)

市占第一OTP簡訊平臺EVERY8D遭駭,F-ISAC發布三級資安事件警訊

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

由於該平臺每月簡訊發送量超過一億封,加上與電信業者的深度合作,已成為臺灣各大銀行身分驗證、電商交易確認、政府機關通知及金流業者OTP(一次性密碼)認證不可或缺的關鍵基礎設施。

金融資安資訊分享與分析中心(F-ISAC)於今日(5月26日)下午,正式對此一資安事件發布重大「三級資安事件」警訊,並要求所有會員機構必須採取「先釐清暴露面,再進行應變處置」的緊急手段,同時五點防禦指引作為會員機構的防禦參考。

但此事件因核心驗證服務中斷而面臨營運停擺危機,凸顯第三方供應商的防護漏洞,直接威脅到臺灣商業與民生系統的營運持續性,更迅速演變成一場國家級的供應鏈資安風暴。

F-ISAC發布三級資安事件,意味核心系統遭駭或機敏資料外洩

在臺灣資安通報規範中,「三級事件」屬於相當嚴重的國安與產業危機,這意味著:國家關鍵基礎設施或核心通訊系統,遭受高技術駭客入侵而導致核心業務停擺,或是涉及大量核心機敏資料與民眾個資外洩;而由於其損害規模已無法由單一企業自行控制,因此,必須提升至國家級跨部會通報、跨產業鑑識聯防的資安事件通報層級。

此次F-ISAC將互動資通事件定性為「三級資安事件」,其意義遠超過一般的系統故障或服務中斷。依據我國《資通安全管理法》及相關法規,三級資安事件意指對核心業務資料或系統造成重大影響、可能波及組織正常運作的安全事故;一旦發生,必須立刻依法啟動強制通報與應變程序,機構若未在規定時限內完成通報與處置,將面臨相應的法律責任。

從衝擊面向來看,三級事件通常代表受害組織單位面臨以下幾個層面的挑戰,首先,核心業務資料已確認或極可能外洩,企業的商業機密、客戶個資或系統架構資訊不再處於受控狀態;其次,組織的日常運作受到顯著干擾,依賴受影響系統的業務流程出現大範圍停擺;第三,企業的信譽與財務狀況可能因此遭受難以量化的長期損害。

更重要的是,三級事件的發生本身就是一個嚴重的管理警訊,這顯示該受駭組織在資安防禦縱深、人員訓練或政策執行上,已經存在根本性的漏洞。畢竟,一個成熟的資安體系,應該在事件升級至三級之前,於更早階段攔截威脅。

駭客論壇外洩互動資通內網架構圖與部份簡訊內容

這場風暴的開端可追溯至5月21日,一名身分不明的駭客在知名駭客地下論壇中,以「SELLING」為標題,公開兜售互動資通的上市公司網域控制器帳號,以及EVERY8D企業簡訊平臺的相關資料。

根據駭客論壇公布的外洩網路架構圖與拓樸可以顯示,駭客應該早就已經深度潛伏於互動資通的內網中,將第一層反向代理伺服器(HAProxy)、內部主機名稱、IP位址配置、檔案路徑結構以及服務連接埠資訊全部摸透。從外洩的資訊更可以看到,本應嚴密保護的SSH遠端管理服務更直接暴露在外網,讓駭客有長驅直入的通道。

此外,根據駭客論壇的外洩資訊顯示,互動資通內部多達兩百多臺活躍主機、簡訊服務中心(ServiceCenter)、排程元件(RabbitMQ),以及用於硬體層級控制的iLO管理介面,均遭到全面控制。

最讓人擔心的是,駭客已經成功攻破生產環境的微軟網域控制器(Domain Controller),掌握網域之間的最高信任關係。這意味著駭客已奪取了企業IT環境的最高權限帳號,能夠以最高管理員身分,在整個網路中自由地橫向移動、讀取任意機敏資料。

駭客為了證明已經確實掌握EVERY8D企業簡訊平臺,更直接在駭客論壇上,公布涉及臺灣五院、總統府、軍隊、各部會,以及民眾的真實簡訊的日誌紀錄,甚至連文化部驗證碼、軍醫院收發室聯絡訊息與政治核心輿情都被駭客公開;隨後服務主機也被鎖上加密勒索訊息,顯示其防禦體系已被徹底瓦解。

企業簡訊異常引爆業界怒火,宣稱「系統升級」卻遭資安警訊打臉

但是,在駭客論壇外洩資料公布之前的幾日,社群媒體Threads(脆)上,已經陸續傳出許多電商、金流業者的認證簡訊無法發送災情,導致許多電商和金流業者的身分認證和交易中止。

從Threads上的發言可以觀察到,最早自5月18日起,就已經有電商與金流業者開始通報簡訊發送異常,消費者遲遲無法收到OTP驗證碼,導致無數筆交易在最後結帳環節硬生生卡死。

隨後數日,Threads也湧現大量電商、開店平臺與線上金流業者的集體抱怨,直指企業簡訊平臺的服務連續數日掛點「根本恢復不了」,許多電商平臺和金流業者甚至憂慮,不知如何賠償因簡訊異常而造成的客戶商譽與營業損失,部分民眾更諷刺企業簡訊平臺的系統恢復無望。

然而,在持續擴大的服務中斷期間,卻可以看到,有一些銀行在官網公告中,宣稱其簡訊異常的原因是「簡訊業者機房搬遷及系統升級造成簡訊服務不穩定」,試圖安撫客戶並請用戶嘗試重新操作。

銀行在官網上的「機房搬遷、系統升級」的解釋,極有可能就是互動資通對銀行客戶的說法,但這個說法卻在F-ISAC發布三級資安事件的警訊後,難以自圓其說。

企業簡訊平臺業者試圖粉飾太平的藉口,與F-ISAC證實:互動資通的企業簡訊平臺是「遭遇加密勒索」,以及業界第一線人員集體在社群媒體上哀號的現實,顯然存在著嚴重落差,也引發外界對互動資通的誠信與危機處理能力的質疑。

最早自5月18日起,Threads也湧現大量電商、開店平臺與線上金流業者的集體抱怨,直指EVERY8D企業簡訊平臺的服務連續數日掛點,許多電商平臺和金流業者甚至憂慮,不知如何賠償因簡訊異常而造成的客戶商譽與營業損失,部分民眾更諷刺企業簡訊平臺的系統恢復無望。

也有銀行業者在官網公告麒簡訊異常,是因為簡訊業者互動資通因機房搬遷和系統升級造成的結果,但互動資通這樣的「藉口」,則被F-ISAC於5月26日所發布的三級事件警訊打臉。

政治與軍事機密恐全面裸奔,國家級「簡訊間諜」成隱憂

除了眼前的商業產值損失,這起事件也潛藏令人不安的國安威脅。因為,駭客所釋出的資料庫外洩樣本中,也有大量涉及臺灣五院、總統府、各部會,以及軍隊相關的真實簡訊日誌紀錄。

在外洩的簡訊樣本中,除了包含文化部文化幣App的註冊驗證碼、北市社會局關於中央租金補貼專案的意願調查等公部門行政個資,也包含大量政治人物與民意代表間的通訊內容、政情討論、地方輿情,甚至是民眾對總統、立委的建言。最驚人的是,在外洩資料中,甚至有新竹空軍醫院收發室的收件聯絡資訊,以及官兵在國防部會客室的聯絡簡訊。

這意味著,只要互動資通與其四大電信介接的簡訊發送管道若未能完全釐清權限,駭客未來隨時有可能發動更精準的偽冒攻擊。由於EVERY8D平臺支持政府專屬的「+111」等特定簡訊代碼,一旦該管道遭到不法份子控制,駭客將能假冒政府部會或軍方名義,發送帶有惡意木馬或釣魚連結的簡訊給特定官員與一般大眾,可能引發民眾恐慌與資安後遺症。

社交工程攻擊風險劇增,單點故障引發跨產業數位韌性信心危機

該起事件之所以引發如此大規模地癱瘓,根本原因在於:現代數位服務生態中「單點故障」(Single Point of Failure)的結構過於脆弱。

也就是說,當一家企業簡訊服務業者,同時掌握著數以百計的銀行、電商、金流,以及政府機關等客戶,它本身就成為整條供應鏈上,最脆弱的「關鍵罩門」。

以金融業為例,幾乎所有網路銀行與行動支付服務在關鍵操作時,都依賴OTP(一次性密碼)簡訊作為第二身分驗證因素。一旦認證簡訊發送服務中斷,不僅轉帳、付款等日常交易無法進行,就連登入帳號、修改設定等基本操作,也可能因為無法通過雙因素驗證而全面停擺。此外,對電商業者而言,無法完成身分驗證,意味著訂單流失、客訴激增,也會對品牌信譽帶來難以量化的長期損害。

更深層的隱患,也來自資料外洩本身的後續風險。金融機構F-ISAC發布的三級資安事件警訊,已明確提示:若曾透過互動資通系統或服務發送簡訊,應立即檢視近期簡訊發送紀錄、內容、連結網址及收件對象是否正常,並特別留意「是否有未經授權寄送、異常連結或疑似偽冒通知等情形」。

這意味著,外洩的簡訊發送記錄可能被用於精準的社交工程(Social Engineering)攻擊,針對已知的目標客戶發送偽冒官方訊息,進而引導受害者洩漏更多個人資訊或金融帳號。

F-ISAC提出五點防禦指引,提醒未來企業選用相關服務時應該謹慎

目前F-ISAC在其發布的三級警訊中,採取「TLP Amber」限制性資訊分享等級,明確指引跨產業防禦的核心邏輯,要求所有會員機構必須採取「先釐清暴露面,再進行應變處置」的緊急手段。

首先,便是呼籲各單位立即展開內部全面盤點,確認是否有任何機敏資訊存放於互動資通的系統中,並依據相關法規辦理後續通報與處置;再者,各機構必須嚴密清查,確認近期與該公司之間是否存在任何檔案交換、設備介接,或是使用其所提供之設備、平臺與服務的紀錄,以防堵任何潛在的滲透路徑。

第三,在實體設備與網域防範方面,F-ISAC要求資安團隊全面檢視單位內所有設備是否存在異常行為,尤其是設備的異常外部連線或帳號異常登入,一旦發現可疑行為紀錄,必須在第一時間釐清原因並啟動應變程序。

第四,要將包含主機設備、作業系統、程式套件及防毒軟體在內的安全修補與防護系統全面更新至最新版本,做到即時防禦。

最後,針對EVERY8D企業簡訊平臺最核心的資料外洩危機,F-ISAC更特別示警,凡曾透過該公司系統發送簡訊的單位,必須嚴格回溯檢視近期的簡訊發送紀錄、內容、連結網址及收件對象是否正常,加強監控是否有未經授權寄送、異常連結或疑似偽冒通知等衍生詐騙情形,若發現蛛絲馬跡應儘速釐清衝擊範圍。

然而,警訊中「影響範圍及整體事件原因,正委由資安廠商鑑識中」的關鍵表述,正意味著即便在警訊發布的當下,這場供應鏈遭駭事件的真實受害全貌與潛在破口,仍未完全釐清。

這正是供應鏈攻擊最令人心驚的危害所在──駭客不再耗費心力去直接攻破防禦嚴密的銀行或政府核心網域,而是透過滲透防護相對薄弱、卻握有通行特權的第三方核心服務商,將風險無差別地擴散至上游千百家企業。這種「木馬屠城」式的連鎖效應,也引發了跨產業與主管機關對於供應鏈安全的集體高度關切。

當互動資通這類企業簡訊平臺,實質上,已經承載國家數位身分驗證、金流交易,以及公部門訊息傳遞的核心功能時,它就不再是一家單純的資訊軟體服務業者,而是已經成為國家關鍵基礎設施在運作上,不可或缺的重要外部樞紐。

對受駭的資服業者互動資通而言,此次事件從網域控制器淪陷、勒索軟體部署到資料於地下論壇公開兜售,顯示攻擊者已在其環境中進行深層且持續的滲透,這絕非單一漏洞或個別疏失所能解釋,而是系統性資安防護失效的結果。

未來,面對這種關鍵服務的提供者,其資安防禦強度是否符合國家安全標準、遭遇攻擊時的通報透明度是否足夠,或許是臺灣相關產業在選用時,能否進行嚴格的資安盡職調查(Security Due Diligence)與多元備援布局,將成為接下來各界在評估選用關鍵服務業者時的布局重點。

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.