聯合國掩飾被駭惹人非議,人權分子被迫暴露在危險情境

作者 | 發布日期 2020 年 01 月 30 日 18:06 | 分類 資訊安全 follow us in feedly


近期因為台灣國際地位緣故,聯合國以及其附屬組織成為討論焦點,思考台灣該怎麼互動。不過聯合國這麼龐大而且任務繁多的國際組織,被駭客針對並不稀奇,卻被爆出企圖隱瞞被駭的事實,造成大批經手國際援助的人個資外洩,嚴重時甚至會為駭人群人士生命安全。

根據 The New Humanitarian 取得的聯合國內部機密文件,去年 8 月聯合國位於歐洲日內瓦的辦公室回報遭駭的事情,大量人權相關組織的伺服器被侵入,不少具管理權限的帳號被駭,駭客能輕易透過人資系統等內部系統,取得敏感的資料。

在這個越來越注重個人資料保護的年代,各國法規越來越嚴格,像是歐盟有 GDPR 規範個人資料。聯合國被駭沒有通報主管機關,也沒有通知帳號受影響的人,儘管聯合國因比照外交機關緣故,被豁免不用被各國法律規範,但作為超國家的國際組織,聯合國難以面對自身提出高標準,但對自己組織發生的問題卻採遮掩方式處理,因此需要被究責。

根據數位鑑識人員判斷,侵入聯合國網路的駭客,並沒有採取大肆破壞的做法,而是靜靜地待著,相當大的可能性是為了情報而來。而聯合國在發現被駭之後,要求職員更換密碼,但未說明事態嚴重性。

目前已知聯合國駐日內瓦辦公室,總部位於日內瓦的聯合國人權事務高級專員辦事處,以及維也納的聯合國辦公室,都面臨被駭客侵入的情形。其中屬人權事務高級專員辦事處的資料最為敏感,許多國家只要抓到有與人權辦公室有通聯,就會被跟監、竊聽,或者抓捕後刑求的情形。

而細數各辦公室被入侵情形,聯合國日內瓦辦公室有 33 台伺服器被侵入,人權辦事處則是 3 台,而維也納辦公室則是至少 4 台。系統部分則有包括諸多關鍵核心系統,如人事系統、健康保險系統,影響規模達上千人程度。資料數量部分,據稱有高達 400GB 的資料已經被下載下來。

而根據進行數位鑑識調查的公司表示,入侵聯合國的駭客並不是最高竿的駭客,他們侵入聯合國的網路後,沒有單單刪除他們的紀錄而是全部的紀錄都刪除光光。除了受雇調查資安事件的數位鑑識團隊,微軟也有協助調查。

我們不大在新聞上看到聯合國被駭這種事情被報導,先前 2016 年的事件,是處理聯合國旅行票務的旅行社資料外洩,並非聯合國的資訊設備與網路被侵入。由於聯合國在國際政治和外交上面的重要地位,不少背後為國家力量的駭客,想方設法要侵入聯合國,來獲得敏感的情資。

(首圖來源:pixabay)

關鍵字: ,