[新闻] 网站设计未加密 世大运1.8万志工个资恐外泄

楼主: joyfound (羊)   2017-08-03 19:51:21
苹果 https://goo.gl/3xoQs1
台北市府本月19日将主办台北世大运,有1万8千人报名担任志工,近日北市府开始发放工
作服,却传出志工装备领取查询平台的志工个资恐遭外泄,市府挨批行事草率。世大运组
委会表示,该查询平台为组委会同仁建置,目前赛会在即,就是先把事情做完,是否会惩
处之后才会讨论。对于外界传闻世大运志工有个资外泄,世大运志工管理运用处澄清并无
此事,应属误解。
市议员议员何志伟说,昨台北世大运志工FB粉丝页发布“志工装备领取查询
(2017volunteer.tk)”网页,供志工上网用查询装备领取地点,他接获民众爆料该网站设
计有严重资安漏洞,不但采用免费网域,连最基础的加密措施(https)都没做,有心人
可轻易撷取资讯;该查询网站还有重大的SQL injection漏洞,若有人进行渗透测试,可
轻易取得后台1万8千名志工个资。
世大运发言人杨景棠表示,昨晚内部同仁为方便查询志工服勤装备配置及服勤地点调配,
因此建置志工装备领取查询平台,今早因资安考量立即关闭,影响不大。
何志伟说,调查发现该网站是好心志工帮忙设计,网页现也紧急下架,但世大运是国际性
质全国赛事,政府投入相当多资安经费,此纰漏却让“好心的志工个资没保障,好心没好
报”。他呼吁市府处理个资时应更有资安概念,该省的钱不能省,专业工作还是交给专业
人士,也不能究责该名协助设计网站的热心志工。
资安专家表示,网站上若没有https代表网页在“传输”时没做到加密,但骇客要借此窃
取资料并不容易,只代表网页设计不够好;但若出现SQL injection漏洞,代表攻击者可
用特殊语法窃取数据库内的资料,造成资料外泄,此为很严重的疏失。
世大运志工管理运用处表示,该查询网站只能输入志工个人身份证字号而去查询所属服务
场馆名称,并无其他个人资讯,也看不到其他人任何资讯,故无涉及任何个资问题。因志
工场馆实习在即,志工管理整合平台承包厂商又同时处理其他重要事项,无法回应本项需
求;又本项查询功能需求孔急,故由志工中心资讯管理专业同仁开发此一小型查询数据库
网页,其中并无其他人进一步个资,即使骇客骇入亦得不到任何其他个资,对个人无任何
危害,故无特别加密需要(加密处理技术需耗费更多时日),请志工放心。(生活中心/
台北报导)

Links booklink

Contact Us: admin [ a t ] ucptt.com