機密維護常識彙編（ 99年５月份）

✻十萬中文網站遭入侵 包含知名全球性公益組織在內 趨勢科技呼籲：駭客利用新聞事件使壞不斷上演 謹防個人資料外洩

網路安全專家趨勢科技昨晚發現新一波針對華文網站的惡意程式攻擊，而此波攻擊中不乏知名的全球性慈善團體，趨勢科技呼籲網友在上網蒐尋最新消息或慈善捐款訊息時請千萬小心，以免個人資料遭不法人士竊取利用。

趨勢科技網頁掃瞄雷達發現直至今日已有十萬個中文網頁遭植入惡意連結，此次遭攻擊的網頁是採用多種駭客工具自動掃瞄尚未修補 MS06-14漏洞的電腦，而加以入侵，不過大部分的受駭網頁還是以「資料隱碼」 (SQL injection)的方式，由企業的網站漏洞入侵資料庫。

而這些被攻擊的網頁多以非營利機構為主，當網友瀏覽這些網頁時將被植入惡意程式，有可能成為傀儡網路操縱的殭屍電腦或導致個人機密遭竊。這些受駭的中文網頁以台灣、中國、香港和新加坡為主，其中中國大陸的網頁高達九成。　　受駭的網站中，不乏知名的全球性慈善團體，令人不難聯想此次攻擊與駭客假藉四川震災等最熱門新聞來達到大量散播之可能性，所幸今日該慈善網站位於台灣與大陸的網站皆已修復，不過趨勢科技提醒用戶，入口網站中的相關網站庫存頁面仍有風險，網友上網時請小心不要點選。

✻台網站「掛了」 近 2百人資料外洩

從事網站設計個人工作室的劉姓工程師上月初替桃園縣政府製作相關網站時，不慎與網路抽獎網頁重複「掛網」，短短不到 1個月時間就被駭客盜用近 2百筆網友帳號機密資料。警方特別呼籲該網會員盡速變更帳號、密碼，以免受害。 　　現年 36歲的劉姓網路工程師上月初替桃園縣政府設計「永續教育發展與環境教育網」，孰料製作過程中因程式設計問題與「世達購物網」舉辦網路抽獎活動網頁重複掛網，造成網友個人機密資料外洩。 　　桃園縣警局刑警大隊科技犯罪組近 1個月來接獲大批民眾報案，指稱除帳號、密碼遭不明人士冒用，自己在網路上輸入年籍、姓名等資料時居然可以避開防火牆連結，懷疑有駭客大量入侵相關網站。 　　警方調查發現，報案民眾幾乎都曾參加購物網網路抽獎活動，由於必須填寫詳細個人資料，因此在「雙網掛網」的情況下，駭客只要入侵永續教育發展與環境教育網，就能輕鬆下載大筆機密帳號、密碼。 　　警方表示，劉姓工程師設計網站時重複輸入相同程式，曾經瀏覽過2個網頁的民眾，就會被駭客盜用個人資料。目前已有被害網友遭人公布相關帳號，初估全國受害人數多達近 2百位之多。 　　劉姓工程師到案後否認刻意散佈網友機密資料，指稱因作業疏忽才造成駭客入侵。警方偵訊後除依妨害秘密罪嫌移送外，也呼籲曾至上述網站瀏覽網友盡速變更帳號密碼，以免遭人盜用受害。（中國時報／楊宗灝／桃園報導）

✻ 技術員洩漏工程底價被判刑案例

壹、案情概述

甲係某單位研究所之臨時專門技術員，負責該研究所大樓擴建工程之工地行政協調、地質鑽探有關廠商之尋找、報價單之回收及協助審核廠商報價事宜，為依據法令從事公務之人員；乙係某鑽探工程公司負責人，緣該研究所大樓擴建工程擬作地質鑽探，由該研究所行政室總務丙負責該項行政工作，甲則協助處理，甲於八十四年一月中旬經翻閱電話簿找來乙之公司，經聯絡後乙乃前往研究所工地與甲接洽，並概估工程費用的新臺幣（以下同）六十餘萬元，再傳真估價單一份予甲，內載工程六十四萬四干二百零一元。經甲與丙參考前次某程公司報價資料研商結果擬定地質鑽探工程總價款為六十萬元（不含稅）。甲明知工程底價係屬中華民國國防以外應秘密之消息，且明知工程招標必須公開比價，竟將底價洩漏給乙，並授意乙以約六十三萬元報價，嗣經丙討價還價之後，乙表明僅願減價至六十二萬元，不願再減。丙即將乙公司原以六十四萬元報價經減價至六十二萬元承作之情形簽報該研究所，乙方將該工程優待以六十二萬元承作之事宜於原估價單附註欄內加註，嗣該研究所遂於同年月十九日與乙之公司以工程總價六十二萬元簽約施作。本案涉嫌洩密情節經調查單位查獲移送法辦，審判後經上訴至最高法院發回更審，後為臺灣高等法院判決甲犯刑法第一三二條第一項公務員洩漏國防以外應秘密之消息罪處有期徒刑參月。

貳、研析

本案雖甲矢口否認洩漏底價，辯稱伊僅係該研究所徵僱之臨時技術員，負責該工程之工地行政及審查廠商報價等事宜，審查後即送由該研究所處理，伊並無審核底價之權限，亦未負責參與比價之工作。及證人丙亦證稱：我係負責該研究所之總務兼辦房屋建築，但鑽探工程我不懂，所以請甲協助辦理，廠商報價、比價之文書處理是我負責，甲沒有審核權等語。另該研究所於函文證稱 :僅聘請甲擔任該擴建工程之協調督促等工作，有關廠商之尋找及報價單之回收，均委由甲為之，嗣由甲秉其專業知識，核算鑽探所需合理費用作為訂立底價之參考，該工程由主持人丁參考甲之資料後決定該工程底價。惟法院認定甲、乙二人如何互通底價，經通訊監察蒐證屬實且有三家比價公司之報價單在卷可稽，因此認定甲確有洩漏底價犯行。

參、結語 保密義務，規定於公務員服務法第四條，係屬公務員份內之義務與責任，若有違反，即應按其情節依法予以懲處。至於所涉洩密事項，是否另有他圖，藉洩密以獲取不法利益，則併案深入偵處。故公務員就本身所從事之業務，應烙守保密規定，以免觸犯刑章：切勿因一念失慮而鑄成大錯，追悔莫及。

✻洩漏掃黃行動訊息 警停職

苗栗縣警局通霄分局勤務指揮中心警員劉 ○ 軍，涉嫌洩漏警方掃黃及查緝非法外勞訊息給家人經營應召站和同業，前晚被裁准收押禁見。警局十六日緊急召開考績委員會審議，決議先將劉員停職處分，並建議免職，同時懲處相關監督失職人員，以整飭警紀。 　　檢調單位偵辦劉員洩密、貪汙案昨也持續進行，全面追緝在逃的色情應召站彭姓負責人，並擴大追查劉員涉入家人經營應召站的程度，及是否從中獲取不法利益等。 　　警察局考績委員會昨傍晚公布有關劉員涉嫌洩密案懲處結果，除將劉停職並建議免職外，另對監督失職人員也作出處分，通霄分局勤務指揮中心主任楊 ○ 成記過 2 次並調警局資訊室警務員；分局長郭 ○ 裕、查勤區巡官鄭 ○ 輝各記過 1 次；副分局長蔡 ○ 益、原督察組長王 ○ 風各申誡 2 次；相關駐區督察人員各申誡 2 次。 　　檢調高度懷疑劉員不只通風報信而已，可能也實際參與應召站營運，甚至從中獲取不法利益，正深入追查中。（中國時報／陳慶居／苗栗報導