網站設計未加密 世大運1.8萬志工個資恐外洩

8103
出版時間:2017/08/03 19:13
世大運志工裝備領取平台爆洩個資,目前網頁已關閉。翻攝網站
世大運志工裝備領取平台爆洩個資,目前網頁已關閉。翻攝網站

(新增:世大運志工管理運用處說法)

台北市府本月19日將主辦台北世大運,有1萬8千人報名擔任志工,近日北市府開始發放工作服,卻傳出志工裝備領取查詢平台的志工個資恐遭外洩,市府挨批行事草率。世大運組委會表示,該查詢平台為組委會同仁建置,目前賽會在即,就是先把事情做完,是否會懲處之後才會討論。對於外界傳聞世大運志工有個資外洩,世大運志工管理運用處澄清並無此事,應屬誤解。
 
市議員議員何志偉說,昨台北世大運志工FB粉絲頁發布「志工裝備領取查詢(2017volunteer.tk)」網頁,供志工上網用查詢裝備領取地點,他接獲民眾爆料該網站設計有嚴重資安漏洞,不但採用免費網域,連最基礎的加密措施(https)都沒做,有心人可輕易擷取資訊;該查詢網站還有重大的SQL injection漏洞,若有人進行滲透測試,可輕易取得後台1萬8千名志工個資。

世大運發言人楊景棠表示,昨晚內部同仁為方便查詢志工服勤裝備配置及服勤地點調配,因此建置志工裝備領取查詢平台,今早因資安考量立即關閉,影響不大。

何志偉說,調查發現該網站是好心志工幫忙設計,網頁現也緊急下架,但世大運是國際性質全國賽事,政府投入相當多資安經費,此紕漏卻讓「好心的志工個資沒保障,好心沒好報」。他呼籲市府處理個資時應更有資安概念,該省的錢不能省,專業工作還是交給專業人士,也不能究責該名協助設計網站的熱心志工。

資安專家表示,網站上若沒有https代表網頁在「傳輸」時沒做到加密,但駭客要藉此竊取資料並不容易,只代表網頁設計不夠好;但若出現SQL injection漏洞,代表攻擊者可用特殊語法竊取資料庫內的資料,造成資料外洩,此為很嚴重的疏失。

世大運志工管理運用處表示,該查詢網站只能輸入志工個人身分證字號而去查詢所屬服務場館名稱,並無其他個人資訊,也看不到其他人任何資訊,故無涉及任何個資問題。因志工場館實習在即,志工管理整合平台承包廠商又同時處理其他重要事項,無法回應本項需求;又本項查詢功能需求孔急,故由志工中心資訊管理專業同仁開發此一小型查詢資料庫網頁,其中並無其他人進一步個資,即使駭客駭入亦得不到任何其他個資,對個人無任何危害,故無特別加密需要(加密處理技術需耗費更多時日),請志工放心。(生活中心/台北報導)

出版:15:16
更新:19:13

小編推薦
新北、高雄等13縣市大雨特報 注意雷擊、強陣風
諾盧路徑各國看法一致 颱風中心將登陸日本
不要蜜桃臀反黑 記得抓住這時間點

更多新聞……
和平電廠掛點 台電30英雄連日戒備
路剛鋪好又開挖將挨罰?台電:經協調核准



搶當《好蘋友》壹會員
快註冊免收費!不註冊會後悔!
快點我註冊→https://tw.adai.ly/Ml924UpCSU

下載「台灣蘋果日報APP


有話要說 投稿「即時論壇」
更多

《生活》

新聞