丹麥政府稅務軟體錯誤,造成 126 萬人個資外洩.png

由於稅務入口的軟體錯誤,多達 126 萬名丹麥國民的個資遭到外洩。

丹麥日前驚傳由政府造成的大規模個資外洩事件,一共有 126 萬名丹麥國民的個資,因為丹麥政府財政部的稅務入口網站程式錯誤而外洩。

受到影響的人數多達丹麥總人口的五分之一,可說是丹麥歷史上最嚴重的資安事故。

這個軟體錯誤存在的時間長達五年,自 2015 年 2 月就開始造成影響,但一直到 2020 年 1 月丹麥政府進行內部稽核時才被發現。

發生這起資安事故的網站,是丹麥政府的稅務入口網站,可供居民進行稅務申報與繳納之用;每當居民申報稅務資訊時,申報人的身分證字號就會出現在網頁的 URL 中;有心人士可以利用 Google 或 Adobe 的網頁流量分析服務,來分析並收集 URL 中的身分證字號。

丹麥的身分證字號格式共有十碼,前六碼是持有者的出生年月日,最後一碼的奇偶數則代表性別,因此只要身分證字號外洩,個人的生日和性別的資料也等同外洩。

丹麥政府在獲知此事時,並未在第一時間公開此一外洩事件;因為丹麥政府認為只有 Google 和 Adobe 這兩家大公司的分析工具可以取得 URL 中的個資,影響不會太大。

然而丹麥當地的資安業者與專家並不認同這種做法,他們還要求政府應該公開財稅入口網站的程式碼,以檢視並發現是否存有其他資安風險。

 


▼參考連結▼

https://www.ufst.dk/nyheder/kammeradvokaten-vurderer-ansvar-i-utilsigtet-afsen-delse-af-cpr-numre-ingen-risiko-for-misbrug-for-borgere/

https://www.zdnet.com/article/software-error-exposes-the-id-numbers-for-1-26-million-danish-citizens/

 

更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news

 

 

twcert 發表在 痞客邦 留言(0) 人氣()