記者陳家祥/台北報導
2017台北市大運即將在8月19日登場,但台北市議員何志偉踢爆,世大運組委會建置的志工裝備領取查詢平台有個資外洩問題;對此,世大運組委會表示,這個平台是為了方便志工領取裝備,是熱心的替代役幫忙設置,有志工反映個資可能外洩後,已緊急關閉網頁。
[廣告] 請繼續往下閱讀.
何志偉2日晚間踢爆,有民眾發現台北世大運志工FB粉絲頁上發布供志工上網用查詢裝備領取地點的「志工裝備領取查詢(2017volunteer.tk)」網頁,有嚴重的資安漏洞,不需專業駭客,便可輕易取得後台1萬8千名志工個資,一覽無遺。
何志偉說明,該網站設計缺乏基本的資料安全設定,不但採用免費網域,連最基礎的加密措施(https)都沒做,有心人可以輕易擷取資訊。而這個查詢網站還有重大的SQL injection漏洞,若有人進行滲透測試,很有可能取得志工們所有個人資訊。
對此,世大運組委會表示,北市府原有「台北市政府志工管理整合平台」,但隨著賽事接近,每天都有上百通志工確認分流地點的詢問電話,因此有熱心的志工建置「志工裝備領取查詢平台」,方便志工在系統中輸入身分字號後,可以立即得知自己的服務地點與服勤裝備配置,昨晚建置完成,今天有志工反映個資可能外洩問題,緊急關閉該網頁。
儘管經查後發現是好心志工幫忙設計,網頁也已緊急下架,但何志偉表示,世大運是全國性的賽事,投入相當多的資訊安全經費,這個紕漏卻讓「讓好心的志工個資沒保障,好心沒有好報」。他呼籲,市府在處理個資時,應更有資安概念,該省的錢不能省,專業的工作還是交給專業,而且千萬不能究責這個熱心基層志工,不然市長也換志工做。
[廣告] 請繼續往下閱讀..