【獨家】選前敏感校園資安三連爆 北市大學信箱遭盜「我是翻牆的江蘇人」

出版時間:2019/11/16 09:11

選前敏感期,大學校園接二連三爆資安漏洞!台大課程系統被駭學生成績一律87分,中山大學教授郵件長期遭境外駭客監看,北市立大學近日也傳出全校學生可收信的公用信箱個資外洩,多名學生向《蘋果新聞網》投訴,指他們的學校信箱近日收到不明來源騷擾信件,包括疑似來自中國、嘲笑資安漏洞的信件。校方證實是該校學生盜用學校信箱。教育部則認定三事件皆屬校方管理疏失,已責成校方自行改善資安漏洞。

中山大學本月8日傳出駭客透過系統open webmail電子信箱漏洞入侵,創設假帳號偽裝成校方行政人員,已境外跳板IP方式監控10多名政經系、亞太所教授信件內容長達近3年。無獨有偶,台大上周非同步課程管理系統「Ceiba」也遭該校資工系學生入侵,把所有學生成績改成87分,數間大學屢遭駭客入侵、高教資安顯然亮起紅燈。

北市大信箱遭盜用濫發信 畢業生收來自對岸嘲諷信

已從北市大畢業的黃先生(化名)投訴指,在學校信箱近日收到各種垃圾信件,依黃先生提供截圖,所有信件收件人是studentntut@go.utaipei.edu.tw。內容包括訂閱某個政府機關電子報的確認信件,或主旨「我是翻牆過來的江蘇人」嘲笑北市大的資安等。

黃先生不滿說,該信箱是用來接收學校重要公告,卻淪為垃圾、騷擾信件集中地,希望台北市立大學能解決資安問題,以及濫發郵件騷擾學生問題,還卑微學生們一個清寧。

另一位在學的曾同學指控,她的學校信箱同樣收到各種垃圾信件,也包括某個政府機關電子報的確認信件與「我是翻牆過來的江蘇人」。先前也會收到像「打招呼」一樣的信件,覺得這信箱是學校發送重要訊息的管道,「應該安全性要比較高吧!怎麼會發生這種事?」

《蘋果》向台北市立大學計算機與網路中心主任陳奕良查證,陳指該信箱是讓行政單位等可統一發送訊息給學生,只有經過許可才能使用,「這是違法使用,不是資安、漏洞問題」。但不說明為何會有學生收到騷擾信件。《蘋果》詢問北市大發言窗口、主秘陳顯宗則表示,經查是校內學生所為,已進行告誡,但學校是教育單位,「這件事就到此為止」,其餘不願多談。

電子郵件地址外流逾1年 校方近日才發覺

台北市立大學生會會長盧嘉安說,「studentntut@go.utaipei.edu.tw」信箱原先是讓校方可寄信給全體學生的信箱,過去都用密件副本方式寄送隱藏電子郵件地址,外人跟學生都不會知道這個電子郵件。但1年前該電子郵件地址外流,有學生開始收到外人寄來的信件,有學生知道這個信箱可以讓全校學生收到信,有人就開始玩,讓整個信箱變成大聊天室;最近學校有行政人員寄信時,因沒使用密件副本,導致這個電子郵件又被更多外人知道,最近才會又有這些外來信件,並非陸生所為。

盧嘉安說,上周校方邀學生會等舉行資訊倫理安全會議,目前校方已把這個信箱停止使用,改用其他帳號;但過去學生會原本可透過該信箱發信,現在變成必須透過校方學務處同意才能發,而且會中校方還表示「若學生會發信內容與學校立場不同,要嚴加控管」,讓學生會感到不滿。

對校園接二連三出現資安漏洞,教育部表示,綜觀台灣學術網路危機處理中心(簡稱TACert)提供近一年之每月資安事件數據,自今(108)年1月迄今,每月遭受網路攻擊次數平均數量1586筆,同年9月遭受網路攻擊數量為1501筆、10月則為1209筆,顯示近期有不升反降趨勢。9月台大醫院遭駭客入侵與11月中山大學傳出多位教授電郵遭監看應屬個案。

教育部資訊及科技教育司科長王東琪受訪說,據了解北市大應是全體學生可收信的公用信箱個資外洩,校方又無阻擋垃圾郵件的系統,才讓學生都收到類似訊息,只要建立攔截機制即可、評估非駭客入侵。而台大課程系統遭資工系學生入侵,校方稱是單一學生學習行為,會對學生進行資安教育,教育部尊重校方做法。

中山大學教授信箱遭監看 應非陸生駭客攻擊
 
至於中山大學逾10名教授電子信箱被駭遭長期監看,王東琪表示,中山大學已請調查局介入調查,教育部統計出全台仍有29校使用open webmail,由於該軟體為開放資源,相對於商業軟體較為划算,受到不少學校採用,站在大學自治立場,教育部不會強制要求校方改用別的信箱系統。
 
王東琪也說,系統並非無懈可擊、也沒有全然完善的系統,中山大學事件屬於校方未即時修補漏洞、是管理上的疏失,已責成中山大學落實資安管理,明年教育部也將主動稽核了解改善狀況。

王東琪再談到,目前教育部也委請成功大學、交通大學成立資安健檢團隊,只要校方提出需求教育部可即刻派人處理,若情況較為棘手,則可交由行政技術服務中心協助,牽扯到重大刑案則再由檢調介入。

中山大學則回應,從相關資料顯示,攻擊者有來自不同國家的IP紀錄,如香港、中國、美國等,「但不是陸生」,針對攻擊手法判斷,初步認定為跨網站指令碼攻擊,已修補此漏洞防止對方再度利用,也將對方現有假帳號監看手段移除,並進行防範;台大則表示,近期台大被駭客攻擊事件並沒有增加,經過調查,乘機竄改事件確定不是陸生所為,其餘不予評論。

趨勢科技資深技術顧問簡勝財說,這三起案例攻擊的手法、方式都不太一樣,但不論如何,資安不是只有買個防護產品就能解決,一定要依重要性分級,投入足夠的資源防範。簡說,資安沒有百分之百的,企業、學校除了做好外部資安防範外,也要有心理準備,萬一駭客侵入到內部,也要有能力及時發現異常活動並排除駭客攻擊。(唐鎮宇、許維寧、許敏溶/台北報導)  

想知道更多,一定要看……
經費有限防護不足 校園難留資安高手

看了這則新聞的人,也看了……
【獨家】玉山銀前高層幫親叔叔A錢 健保署追查至少詐健保60萬元
​【一日壹蘋果】治肺癌「算命」幫忙 醫界研發轉盤估算標靶藥效
​想出遊把握周末好天氣 下周二起北部高溫只剩20℃
【獨家】選前敏感校園資安三連爆 北市大學信箱遭盜「我是翻牆的江蘇人」

台北市立大學近日傳出內部寄信給全體學生的信箱遭外流。黃世宏攝
台北市立大學近日傳出內部寄信給全體學生的信箱遭外流。黃世宏攝

有北市大學生提供學生信箱截圖,近日收到許多外來的騷擾信件。民眾提供
有北市大學生提供學生信箱截圖,近日收到許多外來的騷擾信件。民眾提供

有北市大學生提供學生信箱截圖,信件還有簡體中文,疑似是來自中國。民眾提供
有北市大學生提供學生信箱截圖,信件還有簡體中文,疑似是來自中國。民眾提供

台灣大學近日也傳出校內系統遭駭。資料照片
台灣大學近日也傳出校內系統遭駭。資料照片

中山大學近日爆發有多名教授信箱長期遭駭客監控。資料照片
中山大學近日爆發有多名教授信箱長期遭駭客監控。資料照片

本新聞文字、照片、影片專供蘋果「升級壹會員」閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。

下載「蘋果新聞網APP


有話要說 投稿「即時論壇」
更多

《生活》

新聞