[비즈한국] 首爾公共腳踏車“Ttareungyi”(叮噹)遭遇入侵,大量使用者個人資訊被洩露,經查作案者竟是青少年。雖然其中一名嫌疑人聲稱是“為了炫耀技術”,但這起事件並非僅僅是“少年駭客”的偏激行為那麼簡單。因為這並非依靠高超的滲透技術,而是利用了伺服器架構的漏洞,即無需進行使用者驗證即可查詢資訊。
目前,調查範圍已擴大至運營主體首爾設施公團的監管責任,相關部門正在進行立案前的調查(內查)。外界指出,與其將其斷定為個人的過失,不如反思公共平臺整體的安全設計與檢查體系。

據首爾警察廳透露,這兩人在2024年6月28日起的兩天內,身為中學生便入侵了Ttareungyi伺服器,下載了約462萬條使用者賬號資訊。洩露的內容包括ID、手機號碼、電子郵件地址、家庭住址、出生日期、性別、體重等,但不含姓名和居民登入號。
當時,針對Ttareungyi應用伺服器的DDoS攻擊發生,APP停擺了約80分鐘,首爾市曾向行政安全部進行了故障申報。截至目前,尚未發現個人資訊被二次流通或產生金錢利益的相關情況。
經調查,兩人是透過網路社群和社交媒體認識的,此前從未在現實中見過面。調查過程中獲取的Telegram聊天記錄顯示了他們預謀作案的細節。在意識到伺服器的漏洞點後,一名嫌疑人提議“把全量資料下載下來”,隨後兩人分工進行了資訊收集。他們供述稱,平時對資訊保安領域感興趣,透過自學掌握了相關技術。
此次事件並非源於內部檢查,而是在調查其他共享出行平臺遭到的網路攻擊時被發現的。在對嫌疑人的電子裝置進行取證分析時,發現了大量會員資訊檔案,從而擴大了調查範圍。2024年10月,其中一名嫌疑人首先被捕,透過追蹤Telegram賬號,同夥身份被確認,並於今年1月被追加逮捕。
警方雖曾兩次為被認定為主謀的嫌疑人申請拘捕令,但考慮到其為未成年人等因素,檢方未予批捕。
調查中確認的入侵方式並非依靠高深技術,而是利用了伺服器設定的漏洞,即在沒有使用者認證或許可權確認的情況下即可查詢資訊。
調查顯示,入侵路徑利用了相對簡單的結構性漏洞。考慮到他們在兩天內竊取了數百萬條資訊,有人質疑:該平臺是否缺乏控制大規模查詢的機制以及監測異常跡象的預警體系。

針對運營主體首爾設施公團的調查也在同步進行。公團因在2024年察覺到駭客攻擊事實後未採取任何措施而受到指責。據首爾市透露,事件發生後的同年7月,雲伺服器管理服務商曾向首爾設施公團提交了一份包含個人資訊洩露情況的報告,但公團卻未向個人資訊保護委員會申報或通知市民,而是採取了預設態度。警方目前正圍繞是否違反個人資訊保護法等問題,對相關人員進行立案前調查。
Ttareungyi應用個人資訊管理的直接責任主體是首爾設施公團,而首爾市則是監管機構。這不僅是關於個別員工過失的問題,更是一場關於公共平臺的訪問控制、許可權管理及侵入響應體系是否在制度上合規的問責流程,因此可能引發進一步的制度改革討論。
個人資訊保護委員會也在上月30日從警方收到洩露申報後著手調查。預計透過調查,將查明事故的具體緣由、個人資訊是否進一步洩露、是否違反相關法律,以及具體的技術漏洞範圍等。
雖然此次事件發生於約1年8個月前,但直到警方在調查其他網路攻擊案分析嫌疑人物品時發現了會員資訊檔案,才公之於眾。上月27日,在收到首爾警察廳關於會員資訊洩露嫌疑的通報後,首爾市進行了內部調查,並確認了初期應對不力的情況。
首爾市交通運營官韓正勳於本月6日召開新聞釋出會表示:“調查確認,公團在2024年7月確認個人資訊洩露事實後,未採取適當措施。”並稱“將根據調查結果明確公團相關人員的責任,必要時將考慮解除職務等後續處理。”
Ttareungyi是首爾市於2015年引入的公共腳踏車服務,在首爾全市設定了租賃站,成為市民短途出行的重要工具。自投入使用以來,累計使用次數已突破2.5億次,2024年全年的使用次數高達4385萬次。與10年前相比,使用規模增長了約400倍。