• 發布單位:TWCERT/CC
• 更新日期:2020-03-06
• 點閱次數:1503

由於稅務入口的軟體錯誤，多達 126 萬名丹麥國民的個資遭到外洩。

丹麥日前驚傳由政府造成的大規模個資外洩事件，一共有 126 萬名丹麥國民的個資，因為丹麥政府財政部的稅務入口網站程式錯誤而外洩。

受到影響的人數多達丹麥總人口的五分之一，可說是丹麥歷史上最嚴重的資安事故。

這個軟體錯誤存在的時間長達五年，自 2015 年 2 月就開始造成影響，但一直到 2020 年 1 月丹麥政府進行內部稽核時才被發現。

發生這起資安事故的網站，是丹麥政府的稅務入口網站，可供居民進行稅務申報與繳納之用；每當居民申報稅務資訊時，申報人的身分證字號就會出現在網頁的 URL 中；有心人士可以利用 Google 或 Adobe 的網頁流量分析服務，來分析並收集 URL 中的身分證字號。

丹麥的身分證字號格式共有十碼，前六碼是持有者的出生年月日，最後一碼的奇偶數則代表性別，因此只要身分證字號外洩，個人的生日和性別的資料也等同外洩。

丹麥政府在獲知此事時，並未在第一時間公開此一外洩事件；因為丹麥政府認為只有 Google 和 Adobe 這兩家大公司的分析工具可以取得 URL 中的個資，影響不會太大。

然而丹麥當地的資安業者與專家並不認同這種做法，他們還要求政府應該公開財稅入口網站的程式碼，以檢視並發現是否存有其他資安風險。