教育部外觀。廖瑞祥攝
7所高級中等學校使用「亞昕資訊股份有限公司」之校務行政系統,日前發生遭駭客入侵事件,教育部國民及學前教育署(國教署)今天(3/29)表示,12和14日分別接獲亞昕公司通報,接獲駭客威脅以獲取學生個資藉以勒索費用,並已向警局報案。國教署也表示,已組成專業小組啟動與亞昕公司簽約的26校之學生學習歷程檔案資料之正確性核對,預計於4月8日前完成清查。
國教署今天透過新聞稿指出,今年3月12日、14日分別接獲亞昕公司通知,表示接獲駭客以威脅已獲取且將散布該公司校務行政系統內高級中等學生資料為由,向該公司勒索費用,該公司向國教署通知並已向警察局報案。國教署於接獲通知後,立即啟動資通安全事件通報、個人資料事件通報、個人資料行政檢查、緊急應變措施及調查作業。
國教署表示,為釐清駭客入侵攻擊情形,國教署即與資安鑑識專家學者,赴亞昕公司進行數位鑑識,經初步清查發現,駭客係透過某校系統漏洞,入侵主機,成功執行惡意程式,進而竊取該所學校帳號密碼,並以該組帳號密碼,成功登入其他6所使用亞昕公司之高級中等學校校務行政系統學校,並竊取該等學校學生個人資料。
國教署說明,經初步鑑識,發現僅有遭到外部下載學生個資操作動作,並未發現新增、刪除等操作行為。另有關於各該學校校務行政系統之學生學習歷程檔案,依據目前鑑識狀況,並未發現被竄改、刪除的軌跡,但為確保學生權益,須審慎確認校內學生學習歷程檔案的保全,國教署已組成專業小組啟動與亞昕公司簽約的26校之學生學習歷程檔案資料之正確性核對,持續進行LOG檢視及資料比對作業,預計於4月8日前完成清查。
國教署表示,就學生個資外洩部分,國教署將依據《個人資料保護法》第12條規定請學校通知當事人,並呼籲各該學校學生近期注意自身個人資料有無被盜用情形,如有發現亦請盡速向學校反映。
國教數提到,除前述7所受影響學校外,全國高級中等學校使用亞昕公司單機版校務行政系統之學校尚有19所,國教署為掌握其餘學校個資外洩情形,即刻進行數位鑑識,並與各該教育行政主管機關合作,協助各該學校持續強化資通系統安全能力,並落實校內個人資料保護,以維護學生權益進行各項保護措施。