按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Ubike幾年前當機事件,提醒務必加強防護意識以確保資訊安全

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-09-29
  • 點閱次數:8103
Ubike幾年前當機事件,提醒務必加強防護意識以確保資訊安全 TWCERT/CC

在2016年,公共自行車YouBike (簡稱Ubike)租賃系統無預警當機,導致全台兩萬多輛的Ubike無法租借使用。經追查後發現,該租賃系統是遭到惡意程式攻擊,而當年負責Ubike租賃系統承包商中一位工程師因此遭到逮補。然而,在4年(2020年)後的現在,此案經由法院判決該工程師無罪,主要原因為該系統一直使用共用帳號密碼,逾十位的工程師都可自由登入及修改內容,再加上攻擊者登入的Log紀錄都已遭到刪除,導致整體案件無法證實攻擊者究竟是否為該工程師,因此判工程師無罪。

對企業而言,系統通常會提供給數位、甚至所有員工使用,而為了方便登入,許多企業會建立共用帳號,提供給所有使用者登入後使用。然而,由於共用帳號無法區隔每一位使用者的身分,一旦系統發生問題或感染惡意程式,往往也難以追查究竟為哪一位使用者所為,甚至許多共用帳號使用簡易的帳號和低強度的密碼,例如常見的password123、123456或企業名稱等容易猜測的密碼,因此一旦有攻擊者欲入侵該系統,可透過簡單的暴力破解取得其密碼後入侵其中。

雖然此次事件被認為是相關工程師所為,但許多系統對使用者不設置太多限制,導致使用者可隨意下載檔案或應用程式,甚至存取不屬於該使用者的機敏資訊。如此低限制的做法,可能導致惡意程式透過下載的檔案入侵主機,或使用者將機敏資訊存儲於個人裝置後,遭攻擊者入侵後竊取,使得企業資訊外洩。這些行為並非使用者有意而為之,但仍造成企業產生嚴重損失,因此除了員工本身的惡意行為外,也有可能在無意間讓第三者進行惡意行為而不自知。故企業對於系統的登入、存取、修正、新增、刪除等權限,都應進行嚴格管控,避免產生資料外洩的風險。

為避免類似事件發生,建議企業應採以下措施:

  1. 避免建立共用密碼,要求每個使用者必須透過個人帳號登入。
  2. 對系統每一個帳號的密碼要求一定之強度,避免攻擊者以暴力破解方式取得密碼。
  3. 企業系統應要求使用者定期更新密碼,且避免使用與前三次相同之密碼。
  4. 系統應嚴格區分使用者身份及權限,以權限最小化原則設定。
  5. 應控管使用者於系統中的動作,包括檔案或應用程式的下載、增修等行為,都應予以限制。
  6. 對於系統所記錄的Log,應限制僅有極少數管理者能進行檢閱,避免內部人員隨意變更。
回頁首