省过头?世大运1.8万志工个资外泄 市府急关闭网站
▲何志伟踢爆世大运又传资安问题。(图/何志伟议员办公室提供)
2017台北市大运即将在8月19日登场,但台北市议员何志伟踢爆,世大运组委会建置的志工装备领取查询平台有个资外泄问题;对此,世大运组委会表示,这个平台是为了方便志工领取装备,是热心的替代役帮忙设置,有志工反映个资可能外泄后,已紧急关闭网页。
何志伟2日晚间踢爆,有民众发现台北世大运志工FB粉丝页上发布供志工上网用查询装备领取地点的「志工装备领取查询(2017volunteer.tk)」网页,有严重的资安漏洞,不需专业骇客,便可轻易取得后台1万8千名志工个资,一览无遗。
何志伟说明,该网站设计缺乏基本的资料安全设定,不但采用免费网域,连最基础的加密措施(https)都没做,有心人可以轻易撷取资讯。而这个查询网站还有重大的SQL injection漏洞,若有人进行渗透测试,很有可能取得志工们所有个人资讯。
对此,世大运组委会表示,北市府原有「台北市政府志工管理整合平台」,但随着赛事接近,每天都有上百通志工确认分流地点的询问电话,因此有热心的志工建置「志工装备领取查询平台」,方便志工在系统中输入身分字号后,可以立即得知自己的服务地点与服勤装备配置,昨晚建置完成,今天有志工反映个资可能外泄问题,紧急关闭该网页。
尽管经查后发现是好心志工帮忙设计,网页也已紧急下架,但何志伟表示,世大运是全国性的赛事,投入相当多的资讯安全经费,这个纰漏却让「让好心的志工个资没保障,好心没有好报」。他呼吁,市府在处理个资时,应更有资安概念,该省的钱不能省,专业的工作还是交给专业,而且千万不能究责这个热心基层志工,不然市长也换志工做。