據教育部國教署表示,亞昕公司是於上月12日、14日通知系統遭駭,受害學校則包含台中市私立衛道高中、苗栗縣私立育民工家、嘉義市私立嘉華高中、雲林縣私立文生高中、台南市市立土城高中、南投縣私立普台高中以及桃園市市立內壢高中等7所,國教署獲報即會同資安鑑識人員,赴亞昕公司進行數位鑑識。
初步清查發現,駭客係透過某校系統漏洞,入侵主機,成功執行惡意程式,進而竊取該所學校帳號密碼,並以該組帳號密碼,成功登入其他6所學校系統竊取學生資料,至於其他如學生學習歷程檔案等資料,則未發現竄改、刪除軌跡,國教署已組成專業小組,啟動與亞昕公司簽約的26校之學生學習歷程檔案資料之正確性核對,預計於113年4月8日前完成清查。
亞昕公司則發出聲明表示,駭客此次是直接入侵學校主機竊取個資,雖然學校的主機、防火牆並非其業務範圍,但第一時間獲知仍緊急召開會議並報警處理,呼籲各校應加強相關資安防護措施。
但本刊接獲投訴,早在教育部發布前2天的27號,就有人在美國知名駭客網站BF(BreachForums)上,用"Taiwan 20K Students Personal Data From Assota Information(亞昕資訊股份有限公司)"為題,以csv、dbf、xls等類型檔案兜售個資提供下載,還大喇喇註明附有證號、學生及父母手機、住址、生日等資訊。
PO文者為了取信網友,除了在帖子上直接秀出約10名學生的個資外,更提供了樣本連結下載,本刊檢視相關檔案中約有400多筆個資,發現裡面除了上述資訊外,就連學生的學座號、父母職業、畢業學校、就讀類組都有。
投訴人表示,應是駭客威脅亞昕遭拒後,便直接到網上兜售相關資訊,想要藉此獲利,國教署應趕快確定剩下學校是否有受害狀況,警方也應加緊腳步偵辦,避免相關資料成為犯罪集團的工具,導致無辜民眾受害。
