公家機關資安漏洞已成了國安問題，數位部長唐鳳日前才要針對各部門做資安健檢，但沒想到數位部自家網站卻被抓包有嚴重漏洞長達7個月，有心人不但可以輕易上傳惡意程式竊取資料，更可能在取得主機的系統權限後，進而攻擊其他公部門的網路系統。對此，數位部強調並無機敏資料，經檢測也沒有異常，且網站架構於廠商主機與數位部系統有區隔，網站目前已修復。

資安平台「HITCON ZeroDay」日前接獲通報，指數位發展部建置的「無障礙網路空間服務網」有嚴重漏洞，在標章申請修改的網頁中，檢測功能附檔驗證不嚴謹，導致有心人可透過「改包」的方式繞過檔名限制，進而將惡意程式植入主機中。

資安平台也分析，「無障礙網路空間服務網」中的漏洞讓有心人可以上傳任意檔案到該主機內，更有可能經由上傳的檔案，進而取得該主機系統的權限，不過漏洞在上月初通報之後，已在本月確認修補完成。

對此，有資安專家分析，數位部網站的這個漏洞是非常嚴重的資安問題，攻擊者能夠透過此漏洞，遠端控制數位部的電腦主機，這種情況就像是數位部的門戶敞開，任由駭客來去自如一般。

資安專家解釋，以網路時光機（Wayback Machine）的記錄來看，該網站在2022年8月29日就已經上線，這表示這個漏洞已存在長達7個月，不僅讓外人可以在數位部無法察覺的情況下輕易取得敏感性資料，更糟的是，駭客可能已橫移並潛伏在數位部內部網路中，伺機對政府其他單位發動攻擊。

專家建議，數位部與國安會必須立即採取行動，重新檢視政府單位的網站上線與資安相關的檢查流程，並協同民間資安業者執行模擬真實駭客攻擊檢測，像是深度滲透測試與紅隊演練，提早發現並修補漏洞；此外，數位部需要清查此電腦的相關連線紀錄，並進一步調查是否存在其他的惡意活動，避免資料外洩可能。

對於網站出現資安漏洞，數位部表示，經過調查後，確認「無障礙網路空間服務網」是設置於外部主機內，因此駭客無法利用系統弱點取得與數位部相關的系統權限，也無法於埋入後門潛伏；除此之外，該網站上傳的檔案並不是機敏資料，且經檢視主機連線紀錄，也未發現異常連線，亦沒有資料被竊取。

數位部也進一步說明，「無障礙網路空間服務網」原本屬於NCC，為了方便使用者上傳的資料，因此設計為多樣性資料均可上傳，進而衍生系統弱點。該網站去年8月底由NCC移撥至數位部，數位部今年4月25日接獲通報系統弱點後，當日便關閉檔案上傳功能、調整作業方式，同步檢視該網站資料權限、移除非必要之權限。

數位部在4月28日修復系統弱點，並通知HITCON平台複測，5月6日HITCON平台通知複測無誤。對此，數位部十分感謝HITCON平台，並強調該網站現已補強系統以及程式安全設定，變更所有主機相關連線帳號密碼、更新主機系統與所有應用程式至最新版本。依據資安作業規定，數位部相關人員在時限內完成通報、調查、處理及改善報告，未來將持續加強技術人員資安防護技術及管理訓練。