世大運1.8萬志工個資全都露 今早緊急關站

〔記者郭安家、沈佩瑤／台北報導〕世大運志工臉書粉絲團昨天發布「志工裝備領取查詢（2017volunteer.tk）」網頁，供志工上網用查詢裝備領取地點，但台北市議員何志偉接獲爆料，該網頁有嚴重資安漏洞，不需專業駭客，便可輕易取得後台1萬8千名志工個資，一覽無遺。

何志偉說明，該網站設計缺乏基本的資料安全設定，不但採用免費網域，連最基礎的加密措施（https）都沒做，有心人可以輕易擷取資訊；而這個查詢網站還有重大的SQL injection（資料隱碼攻擊的駭客攻擊手法）漏洞，若有人進行滲透測試，很有可能取得志工們所有個人資訊。

請繼續往下閱讀...

何志偉表示，雖調查後發現是好心的志工幫忙設計，目前網頁緊急下架，但世大運是全國性的賽事，投入了相當多的資訊安全經費，這個皮漏卻讓「讓好心的志工個資沒保障，好心沒有好報」；呼籲市府在處理個資時，應更有資安概念，該省的錢不能省，專業的工作還是交給專業，而且千萬不能究責這個熱心基層志工，不然市長也換志工做。

世大運執委會坦言，負責製作網站的是內部同仁，為了更方便作業查詢志工服勤裝備配置及服勤地點調配而建置，今早因資安考量立即關閉，影響不大。#