【記者劉亭妤綜合報導】11日起,國立臺北商業大學多名學生的校園Google帳戶遭駭客更改密碼,甚至被用以購買學生版免費微軟(Microsoft)產品。學生質疑校方未妥善管理學生帳戶安全,但校方第一時間卻僅認為是學生自己沒有保護好帳號、密碼所致,引發學生不滿。
11日上午,Dcard臺北商業大學版有兩篇貼文反映校園帳戶被更改密碼、無法登入,多則留言也回報遭遇類似情況。北商大財政稅務系二技學生吳啓源表示,身邊的五專畢業同學都陸續受害,還有同學被盜用後自行取回帳戶卻又再次被更改密碼。他也透露,雖然自己五專和二技帳戶未在第一時間被盜用,也開啟了兩步驟驗證機制(註1),但到了晚間9點左右,五專信箱仍被更改密碼。
註1:第一步驟需輸入密碼,第二步驟則需要透過行動裝置(如:手機)點擊驗證按鈕,完成兩步驟驗證才能順利登入。在密碼遭竊時,此功能可以為使用者帳戶多一道保護。
帳戶被盜用後,若未事先設定備援信箱,學生也無法自行搶救。北商大商業設計管理系四技109學年畢業生李明容指出,因為校園帳戶的系統管理員隸屬校方,無法透過「忘記密碼」功能來重設密碼,需由學校手動處理。但因事發當時為假日,學生也無法向學校求助。
而校方在第一時間的處理態度也令學生不滿。李明容提到,當自己致電校方求助,並表示Dcard上有多名同學受害時,學校卻只回應會再查看Dcard,甚至回頭責怪學生未保護好自己的密碼,使她感到氣憤,「第一時間竟然不是先檢查自己的資安有沒有漏洞、防火牆有沒有問題,反而是先看Dcard?」
Dcard貼文內容提到,取回帳號後,收到了On The Hub(註2)學生版免費微軟產品購買明細,推測駭客透過信箱帳戶取得產品序號後打算上網變賣。吳啓源也有類似遭遇,所幸他在發現自己的On The Hub密碼遭更動後,即時取回帳號,才未被駭客利用。
註2:一個免費下載微軟產品如Office等的平台,需透過校園Gmail帳號註冊登入。
除此之外,吳啓源也提出其他隱憂。,他表示,自己擔任教學助理時,皆是使用校園信箱申請課程相關資料,上述資料在被盜用期間可能也遭駭客掌握。李明容進一步指出,Google雲端空間若存放了證件、證照等重要個人資料,恐怕也有遭到刪除、複製、變賣,甚至收到勒索信件的風險。而帳戶未被盜用的學生也害怕成為駭客的下一個目標,北商大應用外語學系五專學生黃詩淩說:「基本上能改信箱的我都改了!重要的文件也都移至另一個帳號。」
對此,北商大資訊與網路中心(以下簡稱資網中心)於17日發布「10/12畢業生email遭盜用事件說明」。文中解釋,由於系統管理者的帳號被駭客盜用,使學生校園信箱的密碼也一併被更改。資網中心初步判斷,駭客之所以盜用近兩屆畢業生的校園帳戶,是為了取得學生版微軟產品序號。
針對「部分學生遭盜兩次」的現象,資網中心也澄清,在學生帳戶首次遭盜時,為使駭客不再擁有帳戶權限,資網中心替全體學生重設密碼,才使學生誤以為是駭客二次盜用。
資網中心主任楊進雄表示,校方目前正全力協助受害同學重新取得微軟產品序號,並且持續調查駭客是否有存取其他資料,也加強內部控制機制,要求管理員將密碼設為最高強度,並新增多重要素驗證,以免再有類似事件發生。
