示警公務社群帳戶資安風險 資安署給2建議
數發部資安署11月資安月報顯示,有機關承辦人Facebook個人帳號使用弱密碼遭入侵,影響與個人帳號綁定的機關粉絲專頁管理權限,致原管理者均被移除。資安署建議,應啟用多因子驗證並開啟安全設定,以及定期檢查已授權或連動的應用程式。
資安署今天發布11月資安月報,有機關基於業務宣傳需求設置Facebook粉絲專頁,由業務承辦人與維運廠商負責日常管理,但承辦人個人帳號使用弱密碼遭不明人士入侵,影響與個人帳號綁定的機關粉絲專頁管理權限,致承辦人、維運廠商皆被移除管理權限。
資安月報指出,經報請內政部警政署刑事警察局聯繫Meta公司,協助恢復原管理者權限後,立即要求承辦人員與維運廠商變更密碼,再次清查帳號及確認Facebook相關安全要求設定。
資安署表示,公務粉絲專頁不宜使用個人帳號進行管理,因個人帳號可能連動第三方應用程式、跨裝置登入,密碼可能跨平台重複使用、未啟用多因子驗證,或因個人習慣導致安全設定不一致,均提高帳號遭入侵或存取權杖(Access Token)遭濫用的風險,建議強化帳號安全管理、控管連動應用程式及定期檢視。
資安署提醒,啟用多因子驗證之外,也需啟用「登入提醒」,定期檢查「安全性與登入」中登入地點、已登入裝置與授權瀏覽器。同時,啟用「受信任裝置管理」,降低帳號被未授權登入的風險,並使用高強度且不重複的密碼,建立定期更換機制。
至於控管連動應用程式部分,資安署指出,要定期檢查Facebook應用程式與網站中已授權的第三方應用程式,另外,應移除不明或不再使用的應用程式,並監控與粉絲專頁相關的外部工具授權情形。
