在這可能是韓國電信史上最嚴重的駭客攻擊事件發生后,韓國的金融機構正在競相加強其身份驗證系統。最近 SK Telecom (SKT) 的洩露事件暴露了該國數位基礎設施中的關鍵漏洞,並凸顯了金融部門迫切需要更強大、獨立於網路的驗證解決方案。
SK Telecom 洩露的範圍和規模
2025 年 4 月 18 日,擁有約 2500 萬使用者(注:韓國人口約 5100 萬)的韓國最大行動營運商 SK Telecom 檢測到其內部系統 遭到網路攻擊 。這次洩露的嚴重性足以促使首席執行官 Ryu Young-sang 在議會會議上承認這可能是「該國電信史上最嚴重的駭客案件」。
這次攻擊暴露了敏感的 USIM(通用使用者身份模組)數據,包括使用者電話號碼和 IMSI(國際行動使用者身份)號碼,以及與 USIM 資訊處理相關的 21 種 SKT 內部管理數據(來源: 政府新聞稿)。根據提交給國民議會的報告,洩露的資訊總共達到約 9.7 GB——相當於大約 9,000 本書或 270 萬頁檔。
SK Telecom 於 4 月 18 日晚上 11 點 20 分在其安全監控中心首次檢測到數據洩露的異常流量。到第二天淩晨 1:40,該公司已經隔離了感染了惡意軟體的受感染設備,並開始分析入侵路徑和數據洩露的程度。然而,該公司因花了兩天時間向當局報告事件而受到批評,遠遠超過了法律規定的 24 小時通知要求,現在又因花了 2 周多時間通知受影響的客戶而面臨公眾的額外審查。
與國家支援的駭客的潛在聯繫
該漏洞可能與更廣泛的國際網路安全威脅有關。4月24日,台灣網路安全公司TeamT5發佈了一份報告,警告稱Ivanti VPN設備中的關鍵漏洞正在造成全球安全風險,與中國有關聯的駭客組織利用「Ivanti Connect Secure」虛擬專用網路系統的漏洞滲透到世界各地的機構中。
時間與 SKT 事件相吻合,行業消息人士表示,包括 SK Telecom 在內的許多韓國公司都在使用 Ivanti VPN 設備,這表明可能存在聯繫。在調查過程中,當局發現了 BPFDoor 惡意軟體的四種變體——一種利用伯克利數據包篩檢程式的隱蔽後門,使駭客通信的檢測變得特別困難。
市場和消費者的反應
該事件對 SK Telecom 造成了重大財務打擊,該公司市值損失了約 9236 億韓元(6.432 億美元)。與此同時,用戶開始流失,一天內有超過 34,000 名客戶轉向 競爭對手運營商 KT 和 LG U+。一場集體訴訟運動勢頭強勁,在短短三天內就有超過 49,000 人加入了一個支援對公司採取法律行動的社區。
政府和企業的反應
政府機構和公共機構受國家情報機構的指示,重新發行商業用無線設備中的 SIM 卡。國家員警廳成立了一個由22名成員組成的特別工作組來調查違規行為,而金融服務委員會 (FSC) 和金融監督院 (FSS) 制定了緊急回應措施,以加強消費者保護和金融體系穩定。
大公司已迅速採取行動,現代汽車等公司正在努力為高級管理人員提供更換 SIM 卡,並提供內部更換服務。三星電子命令高管「立即」更換 SKT SIM 卡,同時對 HD Hyundai、Hanwha、Naver 和 Kakao 等其他具有國家利益的公司的員工也發出了類似的指令。
即時保護措施
金融機構已實施緊急協定來防止潛在的欺詐:
- 增強的身份驗證要求:包括 KB Kookmin、Shinhan、Hana 和 Woori 在內的主要銀行現在要求對尋求在新設備上頒發新數位證書或完成移動金融交易的 SKT 使用者進行面部識別。
- 交易限制:一些金融機構拒絕交易請求,包括向SK Telecom用戶發放移動一次性密碼。
- 欺詐檢測:銀行加強了其欺詐檢測系統,以識別未經授權的金融交易,如果懷疑有欺詐企圖,帳戶會立即被凍結。
- 其他驗證方法:金融服務提供者建議 SK Telecom 使用者訂閱 USIM 保護服務,更換 USIM 晶片,並使用簡訊以外的身份驗證方法。
電信主導的身份驗證的漏洞
SKT 洩露暴露了韓國身份驗證生態系統的一個關鍵弱點。許多金融機構嚴重依賴電信仲介的使用者驗證作為其身份驗證流程的一部分。儘管金融公司通常需要在電信運營商驗證之外至少需要兩個額外步驟才能授權移動金融交易,但此次洩露凸顯了依賴電信基礎設施進行身份驗證的風險。
鑒於韓國的信用卡公司在電信主導的身份驗證佔據主導地位的情況下一直在退出身份驗證服務市場,這種脆弱性尤其令人擔憂。該事件凸顯了將驗證能力集中在單一行業或技術方法中的危險。
韓國身份驗證的演變
歷史背景
韓國的數位身份驗證系統歷史悠久:
自 2000 年代初以來,韓國的大多數銀行都提供基於 PKI(公鑰基礎設施)證書8 的網上銀行服務。這種方法最初是由政府強制要求的,在 2015 年之前,政府將 PKI 證書的應用規定為網上銀行的強制性要求 8。
2007年,韓國實施了「身份驗證系統」,以解決在線侵犯隱私和誹謗問題12。經過五年的公開討論和政治辯論,該系統在「促進資訊和通信網路使用和資訊保護法」中合法化12。
數位身份的最新發展
在 SKT 洩露之前,韓國在身份驗證系統現代化方面取得了重大進展:
2025年3月,韓國完成了 數位身份證的全國推廣,允許所有公民和外國居民將韓國居民登記卡的數位版本添加到他們的智能手機上。此數位ID包括區塊鏈和加密等安全功能,需要生物識別驗證以防止身份盜用。
此外,政府最近 推出了 面向外國居民的在留卡驗證服務,使他們無需親自前往銀行即可通過手機進行金融交易。這項服務從外國人登記卡上的照片中提取面部特徵,並將其與法務省資料庫中的照片進行比較,以即時驗證真實性。
需要一種新方法
SK Telecom 的數據洩露事件表明,儘管取得了這些進步,但韓國的身份驗證基礎設施仍然存在重大漏洞。該事件加速了對驗證解決方案的需求,這些解決方案需要:
- 不依賴網路連接
- 不會受到大規模數據洩露的影響
- 整合強大的生物識別元素
- 獨立於電信運營商的功能
安全身份驗證的未來
隨著韓國金融機構尋求更安全的身份驗證方法,他們需要能夠解決SKT洩露暴露的基本漏洞的解決方案。理想的解決方案是獨立於網路、高度安全,並利用先進的生物識別技術來確保即使傳統電信基礎設施受損,身份驗證仍然有效。
隱私優先、無網路生物識別身份驗證的好處
鑒於最近的洩露事件,人們越來越認識到隱私優先、無網路的生物識別身份驗證系統所提供的優勢。此類系統將生物識別數據存儲在本地而不是集中式資料庫中,從而消除了大規模數據洩露的風險。它們獨立於網路連接運行,使其能夠抵禦基於網路的攻擊和中斷。
生物識別身份驗證還提供比傳統方法更高級別的安全性,因為生物識別標識符對每個人來說都是唯一的,很難偽造或竊取。當採用優先考慮使用者同意和數據保護的隱私優先方法實施時,這些系統可以提供增強的安全性並遵守個人資訊保護法規。
SNAPPASS 如何解決當前漏洞
ANDOPEN 的 SNAPPASS 技術代表了解決SKT漏洞所凸顯的漏洞的重大進步。作為「基於面部識別的物理ID和身份驗證解決方案」, SNAPPASS 透過提供高度安全和準確的身份驗證方法來説明防止犯罪和欺詐。
與依賴網路和中央資料庫的傳統驗證系統不同, SNAPPASS 提供離線、可擴展的冷存儲生物識別身份。這種無網路方法意味著即使電信系統受到威脅,身份驗證也可以不間斷地繼續進行。
SNAPPASS 可以支援「無限數量的生物識別使用者,錯誤識別率為 0」,並且可以保護設施」包括遠端或氣隙環境」。。這使得它特別適用於需要高級別安全性和可靠性的金融機構。
特別是對於金融應用程式, SNAPPASS 可以通過「SNAPPIN 車載支付卡」消除金融犯罪,通過生物識別安全的支付終端保護使用者免受卡盜竊、欺詐和未經授權的交易。此功能直接解決了 SKT 洩露引發的對 USIM 數據洩露可能導致財務欺詐的擔憂。
瞭解 SNAPPASS 如何加強您組織的客戶資料保護:
