近期最熱門的新聞，就是「遠通電收 ETC」事件了。一個與全民息息相關的服務，往往會是大家關心的對象。一個良好的服務，必須要兼顧幾個要點：服務的可靠性（Reliability）、可用性（Availability）、可擴充性（Scalability）以及安全性（Security）。很遺憾的，遠通電收這一次通通翻船了。一個立意良好的系統及機制，是如何成為一個資訊災難的？

事件從 2014 年 1 月 1 日 eTag 申辦開始。民眾從儲值、申辦甚至查詢，都無法正常使用遠通服務。遠通電收表示，確認是因為駭客攻擊，在 3.5 小時之內湧入 82 億次攻擊，換算成每秒承受 65 萬次攻擊，因此癱瘓整個系統。因其數量級非常龐大，網路上不少同業專家透過頻寬、架構、流量分析，懷疑是否確實可能發生這種規模的攻擊，而在刑事局調查後並無發現 82 億次攻擊記錄。顯見遠通電收系統及網路的架構上並無針對其使用者規模做好完整的規劃。

接著 2014 年 1 月 7 日又發生另一嚴重事件，在網路上一記事網站 Pastebin 出現遠通電收網站系統漏洞的訊息。在官方網站上含有嚴重系統漏洞，導致任意使用者可以透過網站直接下載伺服器內部的資料 ( http://pastebin.com/mGk2bpXx )。遠通針對這個緊急事件表示網站並無資料外洩疑慮，並且緊急修補了漏洞。隨後 Pastebin 上又流出伺服器中疑似資料庫檔案 ( http://pastebin.com/xxxVvsCk ) ，也可以透過此漏洞下載，如疑似電子公路監理網（mvdis） 資料、車牌辨識資料。而後網站上陸續發生查詢費用、網站、手機 APP、錯誤扣款等問題，讓民眾逐漸對遠通電收失去信心。

一個線上系統的問題，究竟會對一個企業、政府造成多大的危害？在個人資料保護法於 2012 年實施以來，個資保護及資安問題是目前所有企業及民眾相當重視的要點。系統的漏洞若導致全國民眾個資外洩，將會是整個國家的災難。在國與國之間網路戰爭及駭客肆虐的時代，一個含有漏洞的系統將會立刻成為駭客的目標，因此一點疏失都會成為重大的災害。除此之外，系統屢次發生問題，將會造成民眾對於系統的不信任感，並且大大的損害商譽。

究竟為什麼會發生這些問題呢？每個環節可能都出了問題。針對系統的漏洞以及架構的規劃，廠商應有良好的資安概念，並且在開發流程中導入滲透測試等安全檢測，落實在開發中、上線前委請資安團隊進行縝密的檢查，以防發生伺服器漏洞、系統負過載等問題。廠商在面對國家級重要系統服務時，更應該採用最高標準，以嚴謹的態度面對系統的每個環節，而不是急就章上線，讓全國人民充當系統的測試人員。



原文網址: 「遠通電收 ETC」事件 – 都是駭客闖的禍?,Information Security 資安人科技網

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7757#ixzz2urapzEUi