快訊

    向駭客購買台灣2300萬筆戶政資料 科技工程師繳50萬獲緩起訴

    2023-10-12 12:29 / 作者 呂志明
    駭客示意圖。翻攝PIXABAY
    在科技業任職的鄭姓工程師,得知有國外駭客在網路上兜售台灣2357萬2055筆戶籍資料,為了印證這是資料是否真實,他花了4999.2顆泰達幣(台幣約15萬元)購買,雖然印證這些戶籍資料沒錯,但自己也因此遭到法辦,台北地檢署調查後,認為鄭男涉犯《個人資料保護法》違法蒐集個人資料罪,但考量他坦承犯行,給予緩起訴,期限1年,條件是在緩起訴處分確定後4個月內,繳交50萬元給公庫。

    去年10月21日,自稱「OKE」的網友在國外論壇「BreachForums」宣稱擁有台灣2357萬2055筆個人資料,內容包括統號、姓名、出生日期、婚姻狀況代碼、與戶長關係、 戶長統號、戶號、原住民身分、與戶長關係代碼、縣市及鄉 鎮市(區)、行政區域代碼、縣市、鄉鎮市區、村里、鄰、街 路門牌地址、遷入日期、性別、出生地、役別、配偶姓名、 父姓名、母姓名、養父姓名、養母姓名、配偶統號、父統 號、母統號、養父統號、養母統號、教育程度、戶別、原住 民族別、戶長姓名。

    「OKE」為了取信於眾,還公開20萬筆設籍在宜蘭的個資供驗證資料真實性,同時公開出售這2357萬2055個資,要價美金5000元,並以虛擬貨幣作為付款方式,還留下Telegram作為交易聯絡方式。在第一時間,內政部出面澄清,經查證該論壇提供的個資資料,內容格式與內政部戶役政資料差異甚大;相關資料並非從內政部戶政司全球資訊網(www.ris.gov.tw)洩漏。

    1名科技業的鄭姓工程師,在網站上看到「BreachForums」論壇的訊息後,覺得好奇,想要印證這些資料的真偽,就利用Telegram與對方以英文交談,並與對方約定,透過我國ACE王牌虛擬貨幣交易所,支付4999.2顆泰達幣(USDT),購買2357萬2055個資,對方則指定收款錢包地址,收款人則是中國籍的童姓男子。

    鄭男在花錢購得這些個資後,立即將這些資料與自己的親友個資進行比對,發現可能因為轉檔,有些中文字不正確,但是只要是數字的部分,像是身分證字號,出生年月日,全都正確無誤。

    為追查到底是誰?如何取得全國人民的個資,調查局立案後由資安工作站及台北市調查處組成專案小組展開調查,並透過管道取得OKE販售的完整資料進行研析,證實外洩資料為我國2018年4月以前的戶役政資料,再比對資料欄位、資料編碼與格式,部分與戶役政系統原始資料有所出入。

    專案小組再利用其他使用戶役政資料或介接機關,但因資訊系統、網通及資安設備,限於稽核紀錄距2018年間已逾最大留存限制,以致無法追查數位跡證路線。

    不過,專案小組在追查不法金流,從販售個資不法人士所使用的虛擬通貨錢包地址,發現該錢包地址為中國籍童姓男子所有,分析錢包地址交易紀錄,確認已完成多筆交易,交易的資金透過中國大陸銀行帳戶辦理出金提現,同時也鎖定台灣的鄭姓男子與童男完成交易。

    今年6月間,檢調專案小組發動搜索約談,時將鄭男傳喚到案,鄭男坦承犯行,供稱為了確認這些個資的真偽,才想要花錢買來進行驗證,他並沒有將這些個資做為他用。

    檢察官在勘驗鄭男的手機隨身碟等扣押物品,確認鄭男真的沒有將這些購得的個資作為他用,認為鄭男涉犯《個人資料保護法》違法蒐集個人資料罪,但考量他坦承犯行,給予緩起訴,期限1年,條件是在緩起訴處分確定後4個月內,繳交50萬元給公庫。

    至於提供收款錢包地址的中國籍童姓男子,檢察官已對他發布通緝,然而全國人民的個資到底是怎麼洩露出去,真正盜取者又是誰,檢調專案小組仍在偵辦中。
    呂志明 收藏文章

    本網站使用Cookie以便為您提供更優質的使用體驗,若您點擊下方“同意”或繼續瀏覽本網站,即表示您同意我們的Cookie政策,欲瞭解更多資訊請見