根據國外資安媒體BleepingComputer的報導,美國大型風險管理公司 Crisis24 近日證實,其旗下 OnSolve CodeRED 緊急警報平台遭到網路攻擊,造成多州政府、警局、消防隊與公共安全單位無法正常對民眾發布緊急通知。此事件不僅癱瘓美國多地的防災與治安通報能力,也凸顯全球政府共同面臨的數位供應鏈風險。
全美通報中斷 用戶資料遭竊、平台被迫重建
CodeRED 為美國地方政府使用率極高的緊急警報系統,負責推播災害示警、治安警告和重大事故等關鍵訊息。然而本次攻擊造成:
- 緊急通知服務大範圍中斷
- 包含姓名、住址、電話、Email 等個資外洩
- 使用者密碼以明文形式曝光
- 平台核心系統損毀,僅能以 2025 年 3 月 31 日的備份重建
這代表約八個月內的新用戶與所有修改紀錄均遭永久刪除。對高度仰賴該平台維護民眾生命安全的政府單位而言,此為嚴重的供應鏈災難。
INC Ransom 承認犯案 攻擊模式直指關鍵基礎設施
雖然 Crisis24 僅表示事件由「有組織的犯罪團體」發動,但勒索組織 INC Ransom 已於其 Tor 外洩網站公開宣稱負責,並釋出客戶資料、Email、明文密碼及受害清單作為證據。
根據該組織貼文:
- 11 月 1 日入侵 OnSolve 系統
- 11 月 10 日開始加密內部檔案
- 要求贖金未果後,陸續兜售竊得資料
INC Ransom 自 2023 年起活躍全球,針對教育、醫療、政府與製造業等領域發動攻擊。過往受害者包括 Yamaha Motor Philippines、蘇格蘭 NHS 及荷蘭 Ahold Delhaize 食品集團。然而此次攻擊直接癱瘓涉及全國民眾生命安全的通報平台,破壞力遠超一般勒索事件。
技術觀點分析
1. Legacy 系統是攻擊者的主要弱點利用點
攻擊發生於舊的 CodeRED 環境,說明:
- 系統可能缺乏最新的安全更新
- 身份管理架構(IAM)未統一
- 密碼儲存方式仍採不安全模式
- 舊系統與新系統之間可能存在信任或授權連結,造成攻擊面擴大
對任何企業而言,Legacy 系統永遠是攻擊者最有利的切入點。
2. 明文密碼外洩 = 身份管理重大失敗
INC Ransom 公開展示的截圖顯示:
- 密碼並未經過雜湊(hashing)
- 密碼可能以資料庫欄位明文存放
- 或是在部分功能流程中以明文暫存
這代表 IAM 流程存在以下風險:
- 使用者可能重複使用密碼,造成擴散性風險
- 管理員帳號可能已橫向被攻擊者利用
- 其他整合服務(API / SSO / SMTP)可能連帶遭入侵
這是一個 身份安全(Identity Security) 與 敏感資料保護 的嚴重缺陷。
3. 備份落後近 8 個月:暴露災難復原(與備援能力不足
Crisis24 必須使用「2025/3/31」的備份重建平台,這意味著:
- 備份週期過長
- 備份資料未異地備援(或未隔離)
- 最近版本的備份已被攻擊者破壞或加密
- 缺乏有效的還原測試(Restore Validation)
結語:通報系統已成新戰場 台灣不能再以「理所當然」看待
CodeRED 遭駭事件並非偶然,而是各國緊急通報系統長期暴露於威脅下的結果。美國已因 RaaS 攻擊造成全國混亂,然而台灣所面對的攻擊者具備更高資源與更強動機。
真正值得警醒的是:
癱瘓「通報系統」比癱瘓「政府」更能製造混亂。
一旦這些關鍵節點被攻破,影響可能包括:
- 社會恐慌
- 民眾不信任政府通知
- 錯誤資訊快速傳播
- 危機放大
- 形成資訊戰效果
對台灣而言,這不僅是國外案例,而是一面明確的早期警鐘。