薪资系统外泄逾4万员工个资! 监院纠正北市府

台北政府。(图/本报资料照)

记者杨佳颖/台北报导

台北市政府106年1月惊传严重资安事件部分员工人身资讯存款帐号薪资津贴等资料遭外泄在网路平台上。对此,监察院8日通过纠正案,监委高凤仙、江绮雯也在纠正案文中指出,北市府近3年共编列2亿1千余万元资安防护预算,却发生至少19起资安事件,其中17起有系统漏洞且有明确事证可证实已发生资料遭泄漏、系统或资料遭窜改等情事,违失情节明确。

监察员8日发布新闻稿指出,针对北市府于105年自行开发设计之「薪资发放管理系统」未妥善保护个资,导致部分公务员姓名、薪资、考绩等资料曝光于网路一案,以及北市府「智慧支付平台 pay.taipei」及「单一陈情系统Hello Taipei Android 版 APP」涉及使用者帐号、密码等资料外泄等情事,监院已通过监委高凤仙、江绮雯之调查报告及纠正案。

高凤仙、江绮雯则在纠正案文中指出,北市府于100年间,将薪资系统主机由内网移至DMZ区,却未完善资安防护之相关配套,于106年1月间爆发员工个资外泄事件,陷4万余名员工于个资外泄风险中,且因190笔薪资报表档案连结外露,其中18张报表连结疑遭23个外部IP连结或下载,实际影响之员工数达2313名;直到监察院约询后,北市府始对疑遭个资外泄员工个别通知,有严重疏失。

▼监察院 。(图/本报资料照)

监委也说,北市府「智慧支付平台 pay.taipei」及「单一陈情系统 Hello Taipei」资安事件,虽然采用国家发展委员会GCA SSL凭证进行加密,但该凭证当时与Google Play尚不相容,北市府却未能及时督促得标厂商改采其他商业电子凭证,造成短期间连续爆发2件因未采用Https加密技术,导致个资外泄争议,核有疏失。

监委还强调,北市府近3年来,共编列约新台币2亿1千余万元之资安防护预算,却发生至少19起资安事件,其中17起有「系统漏洞且有明确事证可证实已发生资料遭泄漏」、「系统或资料遭窜改」或「业务运作遭影响或系统停顿」情事,高达12起系肇因于「应用程式漏洞」或「软硬体漏洞」,2起个资外泄,6起遭外部有心人士实际入侵,违失情节明确。