薪资系统外泄逾4万员工个资! 监院纠正北市府
台北市政府106年1月惊传严重资安事件,部分员工的人身资讯、存款户帐号、薪资津贴等资料遭外泄在网路平台上。对此,监察院8日通过纠正案,监委高凤仙、江绮雯也在纠正案文中指出,北市府近3年共编列2亿1千余万元资安防护预算,却发生至少19起资安事件,其中17起有系统漏洞且有明确事证可证实已发生资料遭泄漏、系统或资料遭窜改等情事,违失情节明确。
监察员8日发布新闻稿指出,针对北市府于105年自行开发设计之「薪资发放管理系统」未妥善保护个资,导致部分公务员之姓名、薪资、考绩等资料曝光于网路一案,以及北市府「智慧支付平台 pay.taipei」及「单一陈情系统Hello Taipei Android 版 APP」涉及使用者帐号、密码等资料外泄等情事,监院已通过监委高凤仙、江绮雯之调查报告及纠正案。
高凤仙、江绮雯则在纠正案文中指出,北市府于100年间,将薪资系统主机由内网移至DMZ区,却未完善资安防护之相关配套,于106年1月间爆发员工个资外泄事件,陷4万余名员工于个资外泄风险中,且因190笔薪资报表档案连结外露,其中18张报表连结疑遭23个外部IP连结或下载,实际受影响之员工数达2313名;直到监察院约询后,北市府始对疑遭个资外泄员工个别通知,有严重疏失。
▼监察院 。(图/本报资料照)
监委也说,北市府「智慧支付平台 pay.taipei」及「单一陈情系统 Hello Taipei」资安事件,虽然采用国家发展委员会GCA SSL凭证进行加密,但该凭证当时与Google Play尚不相容,北市府却未能及时督促得标厂商改采其他商业电子凭证,造成短期间连续爆发2件因未采用Https加密技术,导致个资外泄争议,核有疏失。
监委还强调,北市府近3年来,共编列约新台币2亿1千余万元之资安防护预算,却发生至少19起资安事件,其中17起有「系统漏洞且有明确事证可证实已发生资料遭泄漏」、「系统或资料遭窜改」或「业务运作遭影响或系统停顿」情事,高达12起系肇因于「应用程式漏洞」或「软硬体漏洞」,2起个资外泄,6起遭外部有心人士实际入侵,违失情节明确。