爆資安漏洞 世大運志工裝備領取平台關站
〔記者郭安家、沈佩瑤/台北報導〕世大運志工臉書粉絲團前天晚間發布「志工裝備領取查詢(2017volunteer.tk)」網頁,提供志工上網查詢裝備領取地點,但民進黨市議員何志偉接獲爆料,該網頁有嚴重資安漏洞,不需專業駭客,便可輕易取得後台一萬八千名志工個資,一覽無遺;對此,世大運執委會昨早十點緊急關站。
管理運用處︰無涉任何個資問題
世大運志工管理運用處表示,該網站只能輸入志工個人身分證字號去查詢其所屬服務場館名稱,並無其餘個人資訊,也看不到其他人的任何資訊,故無涉及任何個資問題;該網頁並無其他個人進一步資訊,即使駭客駭入,亦得不到任何其他個資,對個人無任何危害,故無特別加密,且加密處理技術需耗費更多時日,請志工放心。
世大運執委會解釋,原本設有「台北市政府志工管理整合平台」,但近期志工在確認分流地點時,每日都接到上百通的詢問電話,所以有熱心的志工建置「志工裝備領取查詢」平台,此平台相當方便,志工只要從系統輸入自己的身分證字號,便可立刻獲得自己的服務地點與服勤裝備配置等資訊,因傳出個資外洩,已將網頁緊急關閉。
議員質疑免費網域 缺乏加密措施
不過,何志偉表示,該網站設計缺乏基本的資料安全設定,不但採用免費網域,連最基礎的加密措施(https)都沒做,有心人可輕易擷取資訊;而這個查詢網站還有重大的SQL injection(資料隱碼攻擊的駭客攻擊手法)漏洞,若有人進行滲透測試,很有可能取得志工們所有個人資訊。
何志偉表示,雖調查後發現是好心志工幫忙設計,目前網頁也緊急下架,但世大運是全國性的賽事,投入相當多的資訊安全經費,這個紕漏卻讓「好心的志工個資沒保障,好心沒有好報」;呼籲市府在處理個資時,應更有資安概念,該省的錢不能省,專業的工作還是交給專業,而且千萬不能究責這個熱心基層的志工,不然市長也換志工做。