中小企业部对全民创业“大家的创业”项目1期5000名合格者的非公开信息遭到访问的情况表示,已确认存在相关访问尝试。泄露的信息包括电子邮箱地址、创业创意摘要和评审意见。当天上午还向韩国互联网振兴院(KISA)报告了泄露事实,并发布了致歉文。
从6.3万余名报名者中脱颖而出的5000人,成了此次事故的直接受害者。让他们担忧的不只是邮箱外泄,而是作为创业根基的点子以及对该点子的评审意见被整体流出。
巧合的是,16日正是中小企业部部长韩成淑出席的1期启动仪式举行之日。韩部长目前已被提名为国务总理候选人,正等待人事听证会。
事故的起点在15日上午9时。随着5000名合格者的个人资料在平台上公开,暴露出的项目包括昵称、关注数、是否进入下一轮。电子邮箱、创意摘要、自我介绍则属于可由本人选择公开或非公开的项目。
关键在于,正是以已公开的个人资料为跳板,进而访问了非公开区域。中小企业部表示,确认有9个国内IP通过未获授权的路径访问了非公开信息。究竟使用了何种入侵方式、存在哪些安全漏洞,目前仍未查明。
发现与阻断都晚了一步。中小企业部是在15日下午3点左右接到用户咨询后才得知事故,随后一小时内封堵了访问路径。但次日16日上午,又收到投诉称,登记为非公开的邮箱收到了某人工智能解决方案企业的宣传邮件。直到16日晚,才追加了过滤自动收集的安全功能。
受害者的愤怒,来自外泄信息的性质。一名合格者表示:“我从未告诉过任何人的昵称和邮箱,却收到了广告邮件。”另一名合格者A某则称,在阻断公告发布后的16日仍可通过API收集邮箱,认为“应对过于草率”。
社交媒体上也涌现出激烈反应。“‘大家的创业’难道是要公开所有人的创意吗?”“我的创业项目成了公共财产。”这样的抱怨接连不断。创业创意本就接近事业化前阶段的知识产权,一旦先落入竞争者或企业之手,市场先占优势就会动摇。与普通联系方式外泄相比,其严重程度完全不同。
这起事故更令人痛心之处在于,泄露信息的主体竟是政府。过去,政府一直对泄露个人信息的民间企业处以数十亿至数百亿韩元的罚款,对安全责任要求甚严;然而,自己运营的平台却未能守住非公开信息。
外界对设计层面的漏洞批评声很大。公开信息和非公开信息在同一系统中处理,使得无权限访问也有可乘之机。有人指出,缺乏过滤外部批量抓取数据的装置,也缺少实时识别异常访问的监测机制。
解决方向也很明确。首先应将公开数据与非公开数据分开保存,并将访问权限严格限制在必要范围内。还应建立在短时间内异常请求激增时自动切断的机制,以及一旦泄露立即通报主管部门的体系。对于政府运营的全民平台,在开放之前强制进行安全检查也已刻不容缓。
中小企业部正与国家网络安全中心等外部机构一起调查事故原因。准确的泄露规模和入侵路径,还需等待调查结果。但可以明确的是,这个本想汇聚国民创意的舞台,在保护创意方面却显得十分薄弱。要重建已经崩塌的信任,起点就是彻查责任归属。