外交部人員資料外洩？姓名、Webmail預設帳密全都露

[roger]

因為 Google很強，所以網站的MIS只要一疏忽
很容易讓資料外洩...

資料來源：http://www.inside.com.tw/

我們一直知道Google大神相當厲害，但是萬一Google的爬蟲爬到一些原本不應該放到網路上公開的資料時，這問題就會相當的大，一般人都可以透過搜尋的技巧，找到一些奇怪的資料。

這份資料共有2,000多筆，第一欄是姓名、第二欄是預設的帳號與密碼；透過 https://mail.mofa.gov.tw 這個Webmail介面，有心人士就可以透過這份帳密找到部份也許沒有修改預設帳密的人員。

經過搜尋檔案裡的諸多人名，我們可以確定是外交部人員名單；我們無法得知這份資料在網路上被索引多久了，基於對於國家安全的考量，我們希望公開這次事件，警惕所有人，千萬要記得更換預設密碼，而從事IT或者外包的單位，也要謹記千萬不要把資料放在FTP等處，而被Google給收錄進了搜尋引擎中。

在本文發佈的同時，我們已寫信通知可能造成此洩密的單位，希望其快速移除

Updated : 該外包單位網頁上的信箱退我信……所以就請大家幫忙通知外交部吧。


閱讀全文

.

[liyen]

2千筆公職員信箱帳密外流！ 外交部：過去的事
文/蘇文彬 (記者) 2010-08-26

網友以Google搜尋一組信箱帳號，意外搜尋到一份記載2000多筆外交部職員信箱帳號、密碼的文件，引發外交部資料外洩的疑慮。

據Inside網站一篇文章表示，該網站在Google搜尋時意外找到外交部內部職員的Web-mail信箱帳號與密碼名單，疑似自外包郵件系統維運商流出。對此，外交部澄清，這是多年前流出的資料，已無法登入內部郵件系統。

根據這篇文章，這筆外交部職員名單總共有2000多筆資料，記錄職員姓名與信箱帳號、密碼，研判為外交部流出的員工信箱帳號及預設密碼。追查Google搜尋文件的來源，係出自一家名為新寶網通的公司，該公司主要提供網路系統整合服務、企業VPN建置。

發現該名單的網友表示，當初是以資料中一組信箱帳號進行Google搜尋，沒想到卻在新寶網通的伺服器找到這份資料，新寶網通疑似將FTP伺服器與網站伺服器放在一起，在沒有保護下對外連結，才會被Google輕易搜尋到。該網友第一時間向這家公司示警，但未成功與該公司取得連絡。

新寶網通證實，曾在幾年前為外交部維運郵件系統，但對於網友在其伺服器找到外交部職員信箱帳號、密碼一事，至截稿之前，新寶網通僅表示仍在瞭解中。

外交部在獲知網友揭露的訊息後，內部調查並沒有受到入侵的跡象，檢視這份資料發現密碼長度與現今設定不符，認為是5、6年前被駭客入侵所流出的文件。外交部澄清，現在郵件系統由外交部檔案資訊處負責，先前因駭客入侵已更換了防火牆，員工使用的信箱密碼也每3個月更換一次。資料上的帳號、密碼已無法再登入系統。

事實上，詳細檢視這份名單資料會發現，上面記載的帳號、密碼包括了三任外交部長，分別為民國89年至民國95年之間擔任部長職務的田弘茂、簡又新與陳唐山三位，但沒有較近期的外長資料。顯示這份資料可能是民國93年4月之後流出的，時間點上也符合外交部的說法。

不過，網友所取得的名單來源並不是在外流傳的資料，而是源自於外包商的伺服器。這又與外交部所說的，多年前駭客入侵而外流的說法不符合。

儘管這份資料可能如外交部所說為5、6年前的資料，目前已無法登入使用，但當初發現的網友認為是否還有部份信箱帳號未修改密碼，將比資料的新舊還重要，若仍然可以透過舊帳號密碼進入系統，後果將不堪設想。

http://www.ithome.com.tw/itadm/article.php?c=63013