KPMG數位科技安全服務執行副總經理 謝昀澤
KPMG資安實驗室主持人副總經理 林大馗

關於稍早我國疾管署(CDC)疑似公務信箱帳密遭駭事件，KPMG數位科技安全服務執行副總經理謝昀澤表示，經初步分析比對，此事件與「4/20日美國CDC跟NIH帳密外洩到Pastebin平台上的事件」高度相關，應為公務員使用公務帳號於外部網站(如電子商務、網路服務等)進行註冊，而導致的大規模帳密外洩事件。然而值得注意的是，在Pastebin公布高達19641筆帳密外洩名單中，除22筆巴布亞紐幾內亞及10筆英國名單外，台灣69筆名單是CDC是除了美國CDC及NIH外，外洩名單最多的受害者。而外洩的域名均是CDC及NIH，需特別注意進一步觀察，是否有全球防疫人員大量外洩或遭駭客鎖定攻擊的狀況。

KPMG資安實驗室主持人林大馗副總經理說明，Pastebin是駭客炫耀攻擊成果的展現平台，常有使用者遭駭之登入資訊被公開於此。使用者除了要強化本身的帳密複雜度以外，特別要注意的是，盡可能不要以公務機關或企業所使用的帳號進行外部服務的註冊，更不要於外部網站設定與公務帳號相同的密碼，如果可能，可以盡量啟用多因子認證(MFA)機制。否則在外部的帳密一但被入侵，使用者所擁有的公務信箱、公務資料、個人金融帳號等，都將一起曝險。而台灣CDC的公務帳號因為已被揭露，可能遭駭客用於設計釣魚郵件，應考量例如郵件電子簽章(SMIME)等可以具體強化公務郵件安全管控之機制。