南韓兩國中生攻破首爾共享單車系統竊462萬筆個資

流光拾字者2026-02-23 13:05

2/23 (一)AI

AI 摘要

南韓首爾市公共共享單車系統「따릉이」於2024年6月遭兩名國中生駭客入侵，462萬用戶個資在短短兩天內被大規模竊。
首爾警方本月23日正式宣佈，已將現年就讀高中的兩名未成年嫌犯移送檢方偵辦。
2024年6月15日至16日這兩天，兩名少年利用週末時間，針對首爾設施公團運營的共享單車系統「따릉이」發動持續性攻擊。
由於該伺服器未設置存取頻率限制與IP白名單機制，兩人得以在48小時內，以每秒數十筆的速度，完整爬取全數462萬名活躍用戶的個人檔案。

南韓首爾市公共共享單車系統「따릉이」於2024年6月遭兩名國中生駭客入侵，462萬用戶個資在短短兩天內被大規模竊。首爾警方本月23日正式宣佈，已將現年就讀高中的兩名未成年嫌犯移送檢方偵辦。這兩人透過社群媒體結識，自學駭客技術後，利用系統漏洞在未經驗證的情況下，成功下載包含用戶手機號碼、住址、生日及體重等高度敏感資料。犯案動機初供稱出於好奇與炫耀技術，但警方高度懷疑實際目的為販售個資牟利，同時負責管理該系統的首爾設施公團因存在明顯管理疏失，恐面臨政府機關究責。

事件始末與犯案手法

少年駭客自學成材兩天攻破系統防線

根據首爾警察廳網絡犯罪偵查隊公佈的調查詳情，這兩名嫌犯在犯案時年僅國中三年級，透過線上遊戲社群平台結識後，發現彼此都對資訊安全技術有濃厚興趣。兩人並未接受正規電腦科學教育，而是依靠網路論壇、YouTube教學影片以及地下駭客社群的零散資訊，自行鑽研出足以突破企業級防護的攻擊技術。警方在偵辦過程中查獲大量技術筆記與程式碼，顯示他們系統性學習SQL注入、緩衝區溢位等傳統攻擊手法，並熟練運用各種開源駭客工具。

2024年6月15日至16日這兩天，兩名少年利用週末時間，針對首爾設施公團運營的共享單車系統「따릉이」發動持續性攻擊。他們首先透過公開網路掃描工具，發現該系統API端點存在未修補的漏洞，隨後撰寫自動化腳本，在未進行任何身份驗證的情況下，直接呼叫系統後端資料庫查詢介面。由於該伺服器未設置存取頻率限制與IP白名單機制，兩人得以在48小時內，以每秒數十筆的速度，完整爬取全數462萬名活躍用戶的個人檔案。調查人員形容，這種攻擊手法在資安界屬於「基礎等級」，卻因系統防護形同虛設而釀成重大災。

Telegram成犯罪協調平台

兩名少年在整個犯案過程中，完全依賴加密通訊軟體Telegram進行聯繫與協調。他們在該平台上建立私密群組，分享攻擊腳本、交換技術心得，並即時通報資料下載進度。警方指出，這種使用端對端加密通訊工具的做法，大幅增加偵查難度，所幸其中一名嫌犯在犯案後，於其他網路平台炫耀戰績時留下關鍵數位足跡，才讓整個案件曝光。數位鑒識專家在查扣的手機中，還原出完整的對話紀錄，成為檢方起訴的重要證據。

值得注意的是，兩人的Telegram群組內還討論過如何將這批資料「變現」，包括接洽地下資料仲介、以加密貨幣交易等方式規避追蹤。雖然截至目前尚無直接證據顯示資料已成功售出，但對話內容明確顯示牟利意圖，這與他們在警詢時聲稱「只是好奇」的說法明顯矛盾。檢方將朝違反《資訊通信網法》與《個資保護法》中的「意圖營利」加重條款方向偵辦。

外洩個資規模與風險分析

462萬筆資料包含高度敏感信息

此次外洩的462萬筆用戶資料，涵蓋首爾市自2015年推動共享單車服務以來，幾乎所有曾註冊使用過的會員。根據警方公佈的資料清單，遭竊取的個資項目包括：手機號碼、住家地址、出生年月日、體重、性別、會員註冊日期、使用頻率紀錄等。資安專家警告，這些資料雖不含最敏感的金融帳號密碼，但已足夠進行精准的社交工程攻擊或身份冒用。

特別是住址與生日的組合，配合手機號碼，駭客可以輕易繞過許多線上服務的身份驗證關卡。韓國網路振興院（KISA）分析指出，這類真實個資在地下市場的單價雖不及信用卡號，但因數量龐大且真實性高，整批資料的黑市價值估計仍可達數億韓元。更危險的是，許多民眾習慣使用生日作為各種網路服務的預設密碼，這使得後續連鎖盜用風險急劇升高。

姓名與身份證號幸免外洩

所幸根據首爾設施公團的說明，系統設計上將用戶姓名與住民登錄證號碼（相當於台灣的身分證號）存放在另一獨立資料庫，且該資料庫需經過嚴格的身分驗證才能存取，因此這兩類最關鍵的身份識別資料並未遭竊。資安專家認為，這種資料分離架構是此次事件中最正確的技術決策，有效避免了更嚴重的身份盜用危機。

然而，專家也批評，既然有能力實施資料分離，卻未對其他敏感資料實施同等級的防護，顯示整體資安策略存在明顯落差。韓國個資保護委員會已啓動行政調查，將檢視首爾設施公團是否違反《個資保護法》中關於「依資料敏感度實施分級防護」的規定，若認定違法，最高可處年營業額3%的巨額罰鍰。

犯案動機調查與法律究責

炫耀技術還是牟利意圖

兩名少年在警詢階段呈現截然不同的態度。主嫌A某（16歲）坦承犯行，但堅稱動機純粹是「想測試自己技術到甚麼程度」以及「在同儕間炫耀」，否認有任何金錢交易。他供稱，下載完資料後只是將檔案儲存在個人雲端硬碟，未曾對外散布。但從其手機復原的Telegram對話卻顯示，他曾主動聯繫地下論壇賣家，詢問「這批貨能賣多少」。

另一人B某（15歲）則行使緘默權，全程拒絕回應警方提問。檢方認為，這種態度差異可能反映兩人在犯罪分工中的角色不同，B某或許負責技術執行，而A某主導後續的變現規劃。心理學家分析，青少年網路犯罪者常同時存在「成就感追求」與「經濟利益」雙重動機，此案例典型地呈現這種復合型心態。

少年法框架下的刑責評估

由於兩名嫌犯犯案時均未滿16歲，根據韓國《少年法》，他們將不適用一般刑事訴訟程序，而是由家庭法院少年庭審理。即便檢方以《資訊通信網法》第49條「侵入資訊系統罪」及《個資保護法》第71條「非法提供個資罪」起訴，最高刑度分別為10年與7年有期徒刑，但少年犯通常僅會被判處保護管束或勒令進入少年感化院。

法界人士指出，若檢方能證明「意圖營利」要件成立，法院可能判處較嚴厲的處分，例如1至2年的感化教育。此外，首爾設施公團已表示將對兩人提出民事損害賠償訴訟，求償金額可能高達數十億韓元，但考量其未成年且無收入，實際獲償可能性極低。此案也引發韓國社會辯論，是否應下修少年刑事責任年齡，以應對日益嚴重的青少年網路犯罪。

官方管理疏失與系統漏洞

首爾設施公團未設身份驗證機制

調查報告顯示，此次事件最根本的原因，是首爾設施公團在系統架構上的致命疏失。該單位的IT部門為求「使用者操作便利」，將用戶資料查詢API設置為公開存取，任何知道網址的人皆可呼叫，無需API金鑰或OAuth驗證。更離譜的是，系統未部署Web應用程式防火牆（WAF），也未記錄異常存取日誌，導致攻擊持續兩天卻無任何警訊。

韓國審計監察院已介入調查，初步發現該單位2023年的資安預算僅佔總IT預算的2%，遠低於中央政府建議的10%標準。內部員工向媒體爆料，IT主管曾多次警告系統存在漏洞，但高層以「無實際損害」為由拒絕編列預算修補。這種輕忽態度，讓兩名少年得以用最基礎的腳本就突破防線。

政府機關可能面臨行政處分

首爾市長已公開道歉，並宣佈成立獨立調查委員會，檢討市府旗下所有公共資訊系統的資安防護。行政安全部則要求全國244個地方自治團體，在30天內完成共享型交通服務的資安檢測。個資保護委員會表示，首爾設施公團明顯違反《個資保護法》第24條的「安全管理義務」，最高可處5千萬韓元罰鍰，相關主管也可能面臨停職或減薪等懲戒。

政治效應方面，在野黨議員猛烈抨擊執政團隊「數位基礎建設落後」，要求資安處長下台負責。國會也緊急排審《個資保護法》修正案，擬對公共機關的資安疏忽課以更重刑責。專家警告，若公部門資安水準不提升，未來類似事件恐將重演。