【查核開箱文】網傳「暗網流出監聽文件」 查核中心追查報告

【查核開箱文】網傳「暗網流出監聽文件」 查核中心追查報告

記者陳慧敏、曾慧雯、馬麗昕、許雲凱;主編陳偉婷

12月6日凌晨,一個匿名帳號在「爆料公社」網站貼文,宣稱「國人遭監控!暗網驚現高價出售情治機關偵控數據」,並貼出9張國安、警政單位的「監聽名單」,跨黨派立委、議員及助理、中央或地方政府官員、退役軍人及部分國外使館派駐台灣人員赫然在列,他們的職稱、電話等個人資訊也一覽無遺。

名單詳細列出通訊監察的申請單位、文號,看似增添此文件的可信度;網傳文章標題也「善意」提醒讀者「速查你有無在列」,帶動民眾可能受監聽的疑慮。但這則來自匿名帳號的消息,來源可信嗎?暗網是不是真的流出監聽資料?這則訊息可能有什麼意圖?和查核中心一起拆解這則訊息和文件破綻。


圖1:爆料公社網站擷圖

圖卡版(可左右滑動)

匿名帳號爆料貼文 媒體報導擴大聲量

根據查核中心觀察,這篇爆料公社的貼文第一時間並未在網路世界引起大量關注,其他的論壇(Dcard、PTT)也沒有相關文章。直到6日傍晚有媒體發布獨家報導後,廣泛引起其他媒體跟進,社群開始有相關討論。名單揭露的監察機關如調查局刑事局最高檢在12月6日晚間也對外澄清,指稱文件為加工拼湊。

爆料公社的這則貼文,附上文件資料指證歷歷,加上台灣機密文件遭駭、外流並在暗網販售並非頭一遭,也可能加深民眾對此事件的疑慮。傳言手法日益進化,且會站在一部份事實基礎上放大錯誤論述,加深查證的困難。

從駭客論壇的兜售文件,到爆料公社的名單貼文

查核中心採訪擅長追查駭客的資安團隊,該資安團隊發現,駭客論壇Breach forums確實有人正在兜售「監聽文件」,並標價10萬美元,但駭客論壇並非爆料公社貼文宣稱的「暗網」。

進一步比對駭客論壇和爆料公社所提供的文件,駭客論壇上的文件僅有案號、監聽手機號碼、監聽時間、申請單位等;但爆料公社的9頁文件卻有被監聽人的姓名與職稱。兩份文件的格式、內容都大不相同。

另一名資安學者也協助檢視9頁的名單,他說,爆料公社提供的名單資料量不多,但監聽時間寫法出現3種格式,顯然不是同一份文件,而是經過編輯和變造,「通常駭客都是打包資料來賣,做過多的變造和編輯比較不尋常」。


圖2:達志影像

爆料公社文件瑕疵多 「被監察人」名單疑似拼湊、手機人名對不上

仔細檢視文件、找出破綻是查核記者每日工作的基本功。記者們比對爆料公社文件後,發現有多處的破綻與錯誤。

名單多名立委電話查非本人

查核記者發現,爆料公社文件上的立委電話與實際電話有出入,初步判斷可能有編造痕跡。記者開始撥打名單中的立委電話查證,釐清是否為立委本人或是否是同名同姓之人。

經過實際撥打,可確認名單中的「立委邱泰源」、「立委陳明文」都不是立委本人的電話,且號碼持有者均指出,他們的名字也完全跟「邱泰源」或「陳明文」扯不上邊。

另外,名單中2支「立委黃國書」電話,則是同名同姓的兩位民眾,一位住在宜蘭,一位人在雲林,也跟立委黃國書沒關係。至於名單中的「前立委陳朝容」手機,號碼持有者宣稱是陳朝容親戚,陳朝容並未使用此號碼。而「立院副院長蔡其昌」的手機,實際撥打為空號。


圖3:立法院副院長蔡其昌澄清指出,網傳文件的手機並不是他所使用的手機,文件內容有錯誤。/照片擷自蔡其昌臉書

蔡其昌辦公室6日晚間對媒體表示,經向刑事局查詢後,網傳文件中的手機為2022年偵破的高雄洗錢案派維爾公司蔡姓負責人(蔡昌燄)所有。

記者實際在Google搜尋該公司名稱以及電話時,發現Google搜尋網頁還留存該公司的聯繫資訊,確實與網傳名單相符。可知,該電話與現任立院副院長蔡其昌無關。


圖4:Google搜尋紀錄

名單裡駐台外館名單有瑕疵

名單中有部分駐台國外使館人員,記者向其中一個外國使館查證。該外國使館指出,名單所提人員早在2018年更換職務,已不在台灣服務,但文件卻顯示監聽時間是2022年到2023年,文件資料並不正確。

名單人名、職稱時間序不合理、出現簡體字

查核記者也對比名單中的職稱與人名,發現出現時間序不合理的案例。比如,文件中「國民黨羅東鎮長吳秋齡」和其丈夫魏炎輝都被監聽,監聽時間是2021年11月5日至12月4日,吳秋齡當時是現任鎮長,但魏炎輝的頭銜卻是「國民黨宜蘭羅東鎮鎮長候選人吳秋齡丈夫魏炎輝」,且到2022年底才有下一屆選舉,在2021年11月即稱魏炎輝為鎮長候選人丈夫並不合理。

查核記者也留意到,名單文件出現「雲林」、「云林」夾雜,多處出現簡體字的「云」林,簡體字也不太可能出現在台灣正式官方文件。

官方:監聽監察文件不會出現人名和職稱

針對官方監聽文件格式和內容,法務部調查局主秘孫承一對查核記者說明,爆料公社的名單文件是編造虛構的不實文件,因監聽實務上,執行通訊監聽單位是依據法官核發的通訊監察書(監聽票)來執行監聽,通訊監察書(監聽票)不管是犯罪監聽或國安監聽,是由法官核發,監聽票再交由通訊監察部門執行,文件僅有上下線時間、手機號碼、案號等,不會出現人名和職稱。

司法院也表示,若是偵查中,通訊監察書由檢察官依司法警察機關聲請或依職權以書面聲請該管法院核發,審判中則由法官依職權核發。由於法院辦理之通訊監察案件屬偵查中應保密事項,必要時,通訊監察書的「監察對象」欄得隱匿部分姓名或以代號為之,因此,通訊監察書除監聽號碼外,不會列出受監聽人姓名或單位。

查核記者另外跟刑事局通訊監察科進行查證監聽實務。執行犯罪監聽業務的刑事局通訊監察科指出,名單裡面的通訊所列的「監察對象」,並非通訊監察書內容所能得知,網路流傳之相關監察表格被監察人對象應是經過後製再加工處理。通常刑事局聲請監聽,會由法院確認受理核發,通訊監察科不會知道監聽對象及名單。

在採訪過程,查核中心另外向法務部一位熟悉通訊監察的基層事務官求證,他說明,通訊監察書要經由檢察官聲請,並由法院審查及核發。通訊監察書上會寫明監聽號碼並由法官蓋章,但不會註明被監聽者的姓名、職稱。

查核記者在司法院網站,找到通訊監察案件的公開統計資料包括案件數、執行情況、核發情況等。

駭客的商業勒索 VS 別有企圖的資訊操弄?

查核中心採訪一位資安專家研判,目前無法判斷駭客論壇兜售者和爆料公社發文者是否為同一人,但兩者的目的明顯不同。前者似乎是為兜售資料獲利,後者則是自行變造文件,卻沒有留下聯絡方式或標價,更像是有政治意圖。

Gogolook品策略總監劉彥伯點出:「這起事件更像是選舉前夕,有政治意圖的資安事件。」發文者透過爆料公社「爆料」,引發媒體報導,既營造「國安情報監控」的負面觀感,也刻意列出駐臺外館資料,可能引發外交緊張;也引發輿論批評「資安外洩」的質疑。

「爆料公社的名單文件帶政治目的,卻沒有標價、沒有聯絡方式,不像是為了商業利益。」劉彥伯說。

Hack and Leak 資訊戰

台灣在2021年也曾發生網路「監聽名單外洩」的類似事件。2021年2月,推特上有人冒名東歐人士「Anna Williams」爆料國安局不法監聽黨政、外交人員等名單。同時,也張貼在香港、澳門的論壇討論區上。當時甫從國安局轉任到國防部長的邱國正回應「真真假假」,但否認有監聽在野黨,國安局當時也稱是境外錯假資訊。

一位熟稔國際資訊攻擊調查的資安分析師說,爆料公社的文件事件需要更多時間收集證據、進行調查才能確認事件脈絡,但「聽起來很像是Hack and Leak(駭客攻擊資訊洩漏)手法」,民眾有必要對此種資訊攻擊手法保持警覺。

他提到,國際曾發生過兩次「Hack and Leak」攻擊事件,一次是2016年美國總統大選期間民主黨參選人希拉蕊電郵信件被駭而外洩,引發媒體瘋狂報導,新聞報導和輿論從希拉蕊外流的信件找到許多熱議話題,也質疑她個人人品。另一次是2017年法國總統大選候選人馬克龍競選團隊遭駭客攻擊,在第二輪投票前,被駭資料被公開發佈到匿名論壇4chan,資訊攻擊者以#MacronLeaks推特熱串發動推文,並摻雜假訊息混淆視聽。

這位分析師說,Hack and Leak是外界已有研究和調查的資訊攻擊手法,當機密資訊被駭而公布後,吸引媒體大篇幅報導,民眾深信不疑,在選前引爆政治熱議話題,而資訊攻擊者惡意置入假訊息,就更為棘手,當事人無法澄清,外界更難查證,也會引發政治爭議。


圖5:希拉蕊2016年競選活動,當時她的信件被駭且揭露,「希拉蕊的電郵外洩事件」是典型的Hack and Leak資訊攻擊手法。照片/達志影像

專家:政府應追查哪個環節有疏漏 加強防護才能止損

現為立法院資通安全與科技發展策進會秘書長、中研院資訊科技創新中心研究員黃彥男則從資安、資訊操弄兩個角度分析此次爆料公社匿名爆料事件。

從資安分析來看,黃彥男說,政府的資料庫過去也發生過外洩事件,但此次爆料公社上的「監聽名單」看似是從警政、檢調單位拼湊而成,並非是從一個單位的資料庫外洩。然而,在各單位申請監聽的過程中,不管是從法院申請的書面、電子檔資料都有可能外洩,或是有可能遭駭客入侵。

爆料公社上的監聽名單表格內容到底是真是假?黃彥男直說「難以驗證」。他認為,爆料公社上的「監聽名單」看起來是「真假」拼湊,但有多少真?多少假?外界都非常難驗證,仍需要檢調單位調查後才能知道。「因為資料真實性難驗證,反而讓外界多有揣測。」黃彥男說。

黃彥男也說,「從資訊操弄的角度來看,在選前發布類似訊息,比較可能跟政治目的有關,更要創造民眾對政府的不信任感。」

黃彥男分析,警政、檢調單位依法申請監聽是合法的,但爆料公社將其塑造成「政府大量監聽」、「民眾手機疑遭非法控制」等印象,且其利用的是真假難辯的資料,就是要營造民眾對政府的不信任感。

「不管資料是如何被竊取,現在政府要做的是確認哪個環節有疏漏,外界是從哪個管道拿到資料,加強防護才能止損」,黃彥男強調。