世大運1.8萬志工個資全都露 今早緊急關站
世大運志工臉書粉絲團昨天發布「志工裝備領取查詢(2017volunteer.tk)」網頁,供志工上網用查詢裝備領取地點,但台北市議員何志偉接獲爆料,該網頁有嚴重資安漏洞,不需專業駭客,便可輕易取得後台1萬8千名志工個資,一覽無遺。(資料照)
〔記者郭安家、沈佩瑤/台北報導〕世大運志工臉書粉絲團昨天發布「志工裝備領取查詢(2017volunteer.tk)」網頁,供志工上網用查詢裝備領取地點,但台北市議員何志偉接獲爆料,該網頁有嚴重資安漏洞,不需專業駭客,便可輕易取得後台1萬8千名志工個資,一覽無遺。
何志偉說明,該網站設計缺乏基本的資料安全設定,不但採用免費網域,連最基礎的加密措施(https)都沒做,有心人可以輕易擷取資訊;而這個查詢網站還有重大的SQL injection(資料隱碼攻擊的駭客攻擊手法)漏洞,若有人進行滲透測試,很有可能取得志工們所有個人資訊。
何志偉表示,雖調查後發現是好心的志工幫忙設計,目前網頁緊急下架,但世大運是全國性的賽事,投入了相當多的資訊安全經費,這個皮漏卻讓「讓好心的志工個資沒保障,好心沒有好報」;呼籲市府在處理個資時,應更有資安概念,該省的錢不能省,專業的工作還是交給專業,而且千萬不能究責這個熱心基層志工,不然市長也換志工做。
世大運執委會坦言,負責製作網站的是內部同仁,為了更方便作業查詢志工服勤裝備配置及服勤地點調配而建置,今早因資安考量立即關閉,影響不大。#