近期因为台湾国际地位缘故,联合国以及其附属组织成为讨论焦点,思考台湾该怎么互动。不过联合国这么庞大而且任务繁多的国际组织,被骇客针对并不稀奇,却被爆出企图隐瞒被骇的事实,造成大批经手国际援助的人个资外泄,严重时甚至会为骇人群人士生命安全。
根据 The New Humanitarian 取得的联合国内部机密文件,去年 8 月联合国位于欧洲日内瓦的办公室回报遭骇的事情,大量人权相关组织的服务器被侵入,不少具管理权限的账号被骇,骇客能轻易透过人资系统等内部系统,取得敏感的资料。
在这个越来越注重个人资料保护的年代,各国法规越来越严格,像是欧盟有 GDPR 规范个人资料。联合国被骇没有通报主管机关,也没有通知账号受影响的人,尽管联合国因比照外交机关缘故,被豁免不用被各国法律规范,但作为超国家的国际组织,联合国难以面对自身提出高标准,但对自己组织发生的问题却采遮掩方式处理,因此需要被究责。
根据数位鉴识人员判断,侵入联合国网络的骇客,并没有采取大肆破坏的做法,而是静静地待着,相当大的可能性是为了情报而来。而联合国在发现被骇之后,要求职员更换密码,但未说明事态严重性。
目前已知联合国驻日内瓦办公室,总部位于日内瓦的联合国人权事务高级专员办事处,以及维也纳的联合国办公室,都面临被骇客侵入的情形。其中属人权事务高级专员办事处的资料最为敏感,许多国家只要抓到有与人权办公室有通联,就会被跟监、窃听,或者抓捕后刑求的情形。
而细数各办公室被入侵情形,联合国日内瓦办公室有 33 台服务器被侵入,人权办事处则是 3 台,而维也纳办公室则是至少 4 台。系统部分则有包括诸多关键核心系统,如人事系统、健康保险系统,影响规模达上千人程度。资料数量部分,据称有高达 400GB 的资料已经被下载下来。
而根据进行数位鉴识调查的公司表示,入侵联合国的骇客并不是最高竿的骇客,他们侵入联合国的网络后,没有单单删除他们的纪录而是全部的纪录都删除光光。除了受雇调查资安事件的数位鉴识团队,微软也有协助调查。
我们不大在新闻上看到联合国被骇这种事情被报导,先前 2016 年的事件,是处理联合国旅行票务的旅行社资料外泄,并非联合国的资讯设备与网络被侵入。由于联合国在国际政治和外交上面的重要地位,不少背后为国家力量的骇客,想方设法要侵入联合国,来获得敏感的情资。
- EXCLUSIVE: The cyber attack the UN tried to keep under wraps
- In ‘Sophisticated’ Incident, Dozens of United Nations Servers Hacked
(首图来源:pixabay)