苹果 https://goo.gl/3xoQs1
台北市府本月19日将主办台北世大运，有1万8千人报名担任志工，近日北市府开始发放工
作服，却传出志工装备领取查询平台的志工个资恐遭外泄，市府挨批行事草率。世大运组
委会表示，该查询平台为组委会同仁建置，目前赛会在即，就是先把事情做完，是否会惩
处之后才会讨论。对于外界传闻世大运志工有个资外泄，世大运志工管理运用处澄清并无
此事，应属误解。
市议员议员何志伟说，昨台北世大运志工FB粉丝页发布“志工装备领取查询
(2017volunteer.tk)”网页，供志工上网用查询装备领取地点，他接获民众爆料该网站设
计有严重资安漏洞，不但采用免费网域，连最基础的加密措施（https）都没做，有心人
可轻易撷取资讯；该查询网站还有重大的SQL injection漏洞，若有人进行渗透测试，可
轻易取得后台1万8千名志工个资。
世大运发言人杨景棠表示，昨晚内部同仁为方便查询志工服勤装备配置及服勤地点调配，
因此建置志工装备领取查询平台，今早因资安考量立即关闭，影响不大。
何志伟说，调查发现该网站是好心志工帮忙设计，网页现也紧急下架，但世大运是国际性
质全国赛事，政府投入相当多资安经费，此纰漏却让“好心的志工个资没保障，好心没好
报”。他呼吁市府处理个资时应更有资安概念，该省的钱不能省，专业工作还是交给专业
人士，也不能究责该名协助设计网站的热心志工。
资安专家表示，网站上若没有https代表网页在“传输”时没做到加密，但骇客要借此窃
取资料并不容易，只代表网页设计不够好；但若出现SQL injection漏洞，代表攻击者可
用特殊语法窃取数据库内的资料，造成资料外泄，此为很严重的疏失。
世大运志工管理运用处表示，该查询网站只能输入志工个人身份证字号而去查询所属服务
场馆名称，并无其他个人资讯，也看不到其他人任何资讯，故无涉及任何个资问题。因志
工场馆实习在即，志工管理整合平台承包厂商又同时处理其他重要事项，无法回应本项需
求；又本项查询功能需求孔急，故由志工中心资讯管理专业同仁开发此一小型查询数据库
网页，其中并无其他人进一步个资，即使骇客骇入亦得不到任何其他个资，对个人无任何
危害，故无特别加密需要（加密处理技术需耗费更多时日），请志工放心。（生活中心／
台北报导）