遠東新聞 韓國組
根據韓國媒體報導,韓國政府於週五(4月28日)公布調查結果,確認韓國電信巨擘 SK Telecom(SKT)未能採取適當措施以防範大規模駭客攻擊事件,導致早在2021年8月就發生約10GB的用戶敏感資料外洩。
主管機關已下令 SKT 允許客戶解約且免除提前終止合約的罰金,此舉可能讓這家電信龍頭損失數十億韓元。韓國科學與資通訊部(Ministry of Science and ICT)公布了官方與民間聯合調查的結果,確認駭客最早於2021年8月6日就已在 SKT 的內部伺服器中植入惡意程式,較原先估計的時間早了約10個月。
科學部次長柳濟明(Ryu Je-myung)表示:「SKT 未能善盡保護用戶資料的安全義務,未能提供安全的電信服務。」調查人員對超過4萬2600台伺服器進行鑑識,發現33種惡意程式,包括27種 BPFdoor 變種。
駭客入侵網管系統,近乎全數客戶資料外洩
駭客入侵了一台與 SKT 網路管理系統相連的伺服器,植入惡意程式以取得家用用戶伺服器(Home Subscriber Servers)的存取權,並竊取了9.82GB的USIM用戶資料,涵蓋了 SKT 近乎所有客戶,總計2696萬筆用戶識別碼紀錄。
調查也發現,設備識別碼、個人資料和通話詳細紀錄都以明文而非加密形式儲存。雖然在現有防火牆日誌涵蓋的期間內未發現資料外洩的證據,但科學部警告,由於日誌紀錄有間隔,無法確認這段期間是否有資料曝光。
供應鏈漏洞,疏於通報惡意程式事件
當局還發現 SKT 的一家供應商所使用的第三方軟體中嵌入了惡意程式,存在供應鏈漏洞。該程式被安裝在88台 SKT 伺服器上,但沒有證據顯示它已被執行或導致資料外洩。
柳濟明指出:「SKT 在2022年2月偵測到伺服器異常重啟,甚至在內部檢查期間在一台伺服器上發現惡意程式,但當時並未向主管機關通報此事件,違反了通報義務。」
資安投資與人力不足,CISO 職權受限
柳濟明也指出 SKT 整體網路安全態勢存在弱點,包括投資和人力不足,以及企業資安長(CISO)的職責僅限於IT系統,而未涵蓋電信核心網路。
科學部要求 SKT 對伺服器存取實施多因素身份驗證,將防火牆和系統日誌保留至少6個月,並提升 CISO 的角色,直接向執行長報告。
當局還呼籲部署先進的端點偵測與回應解決方案,對所有資產進行定期的季度安全檢查,並對 USIM 驗證金鑰進行全面加密,其他行動電信業者 KT 和 LG Uplus 已實施這項措施。
對於仍在合約期內的用戶,科學部也要求 SKT 允許其免除罰金解約。SKT 估計,若有多達500萬用戶決定退租,合計損失的罰金和營收可能超過7兆韓元。
韓國科學部長官劉尚任(Yoo Sang-im)表示:「這起 SKT 資安事件是整個電信產業和韓國國家網路基礎設施的當頭棒喝。作為韓國最大的行動通信業者,SKT 必須將網路安全列為優先要務。」