前情回顾·政务公共服务网络威胁动态
安全内参1月28日消息,韩国监察院发现,在一次模拟网络攻击审计中,黑客成功攻破了全部7个受测试的公共部门系统,暴露出政府在保护海量个人数据方面存在严重薄弱环节。
韩国监察院在1月27日表示,这些信息源自其与白帽黑客及国家安全机构联合开展的渗透测试。在其中一个案例中,审计人员能够访问几乎涵盖全国人口的居民登记号码。
相关结果公布在一份关于个人数据保护与管理的审计报告中。现场检查于2024年11月和12月期间进行。
此次测试由韩国监察院、韩国国家安保战略研究院和网络作战司令部联合实施。测试对象为个人信息保护委员会(PIPC)指定重点管理的123个公共系统中的7个,这些系统因向公众提供服务且掌握大量个人数据而被选中。
所有系统均发现安全漏洞,公民数据可任意访问
监察院表示,在其中一个系统中,可查询约5000万人的居民登记号码及其他相关信息,这意味着几乎所有公民的居民登记号码都存在被窃取的风险。
在另一个系统中,黑客可在20分钟内窃取1000万名用户的数据。监察院还指出,其发现某一公共系统中,用于访问系统的关键信息未进行加密,导致一名获得管理员权限的黑客能够窃取13万人的居民登记号码。
在全部7个受测试系统中,均发现了安全漏洞,使这些系统得以被成功攻破。
监察院表示,已就相关问题通知了负责运营这7个系统的机构负责人,且相关整改措施已完成,但其决定不公开受测试的具体系统或所采用的具体方法。
安全防护措施不足,退休员工权限未撤销
监察院一名官员表示:“披露这些信息可能使其成为黑客攻击的目标,并造成更大的损失。”
审计还发现,存在已退休员工仍可访问公共系统的情况。在京畿道教育厅,约3000名已退休的合同制教师因其访问权限未被撤销,仍可继续登录教育行政系统。
个人信息保护委员会一直推动将人事记录实现电子化联通,以便在员工退休或调动时及时撤销其访问权限,但该教育厅未被纳入该联通机制。
监察院还指出,个人信息保护委员会“查找我的泄露信息”服务的使用率偏低。截至2023年,仅有1.7%的互联网用户曾访问过该服务。
此外,监察院表示,当个人信息发生泄露时,个人信息保护委员会应采取更为积极的措施以防止二次伤害(例如要求相关网站重置用户ID和密码),但该委员会以缺乏法律依据为由,采取了较为被动的应对方式。
参考资料:https://koreajoongangdaily.joins.com/news/2026-01-27/national/socialAffairs/Hackers-breach-all-tested-publicsector-systems-in-Korean-audit-boards-simulated-cyberattack/2509650
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
