智利国家网络安全局 (ANCI) 在确认公共机构和电信公司的密码泄露后,建议立即更改 Key Única 用户的密码。 ANCI 代理國家主任米歇爾·博達查 (Michelle Bordachar) 透露,受影響機構之一的一名員工的憑證被盜,從而導致未經授權的訪問政府資料。数字政府秘书处澄清说,该平台的所有在线程序均保持 100% 的运行和安全。
網路安全公司 Vecert Analyzer 週末發現了這一漏洞,該公司發現了民事登記和身分識別系統中的違規行為,導致數千名智利公民尋求資料保護方面的指導。博達查爾解釋了事件的機制:“該機構的一名員工的用戶名和密碼被盜,有人冒充他獲得了訪問權限。我們向該機構發出警報後,他們關閉了所有訪問點,信息洩漏停止了。”
唯一密鑰到底是什麼
Single Key 是針對 14 歲以上持有有效身分證件的智利公民的官方統一數位身分驗證系統。該平台於 2010 年作為一項擴大電子管理的政府政策而創建,允許訪問 1,600 多項國家程序和服務。它與單一國家登記處 (CNU) 相連,並且僅使用數位政府秘書處定義的個人密碼進行工作。
此憑證的重要性在於其對數位身分的中心地位。 Nodoware 的網路安全和安全開發專家 Lilio Tapia Zagal 比較了這種情況:「這是一把鑰匙,可以同時打開你的房子、你的汽車、你的保險箱和你的辦公室。」透過 Single Key,用戶可以請求背景調查、申請社會福利、向聯邦稅務局轉帳、查閱 Fonasa 資訊以及在民事登記處簽署文件。
取得唯一密鑰的過程
公民可以透過兩種管道取得單一鑰匙:透過民事登記網站上要求的視訊會議或親自前往服務單位。在這兩種情況下,程序都遵循類似的步驟:使用文件驗證身份,提供臉部照片並確認或更新個人資訊。電子郵件地址、家庭住址和電話號碼等資料必須根據需要進行更新。
該過程對候選人免費,並且終身有效。然而,當局建議定期維護註冊資料。數位政府秘書處強調,該平台為大多數智利公共程序提供「無紙化辦公室」服務。
一步一步修改密碼
ANCI 建議更改密碼只需五分鐘,並且比忽略安全性帶來的風險要低得多。具有主動存取權限的使用者可以遵循一個簡單的過程:
- 造訪官方入口網站:claveunica.gob.cl
- 前往“我的個人資料”部分
- 選擇“一鍵密碼”選項
- 按照說明建立至少包含八個字元的新密碼,包括大寫字母、數字和符號
對於那些忘記密碼但仍可以存取連結電子郵件的人來說,有一個線上恢復替代方案。公民訪問官方網站,點擊頁面底部的“在線恢復您的 ClaveÚnica”,輸入日常操作並選擇電子郵件或短信驗證方式。收到驗證碼後,使用者點擊恢復鏈接,使用代碼輸入 RUT 並建立新的安全密碼。
無法存取其註冊電子郵件的公民必須親自前往民事登記處或透過視訊通話重新啟動單一金鑰,並出示有效的國民身分證件並請求啟動碼。
檢查個人資料暴露情況
ANCI 幾個月前推出了 Ciberlupa 工具,供智利人檢查自 2025 年中期以來個人資料是否外洩。該平台代表了一項旨在防止詐欺、身分盜竊和網路犯罪的官方舉措。使用者在 cyberlupa.anci.gob.cl 網站上輸入電子郵件地址並接收有關偵測到的漏洞的資訊。
驗證過程分為六個步驟。首先,請造訪 Ciberlupa 官方網站並點擊「身份驗證」。然後查看工具資料庫中與電子郵件相關的資訊。如果出現數據,請檢查它是否對應於仍處於活動狀態的帳戶,尤其是銀行等重要服務。對於仍在使用的帳戶,請立即在相應網站上變更密碼,如果您在其他平台上使用相同的密碼,也應在相應網站上更新。
如果服務提供雙重認證,請將其啟動作為附加保護層。如果多重驗證使用電子郵件,還需變更電子郵件帳號的密碼。 ANCI 還提供“密碼產生器”,可建立隨機單字以提高帳戶安全性。
確認違規時的建議
Bordachar 強調,超過一兩年沒有更改過單金鑰的公民應該這樣做,因為他們可能在多個可能遭受洩漏的平台上重複使用相同的密碼。 “問題在於所有事情都使用相同的密鑰”,導演警告。
ANCI 建議受洩漏影響的用戶立即採取三項行動:更改所有服務上洩露的密碼、檢查帳戶安全資料是否未被修改以及啟動尚未啟動的多因素身份驗證方法。這些措施大大降低了在當局確認的事件背景下未經授權存取和數位身分詐欺的風險。