世大運火熱籌備 志工個資虛驚一場
台北世大運志工FB粉絲頁日前發布「志工裝備領取查詢文字範本(2017volunteer.tk)」網頁,供志工上網用查詢裝備領取地點,但卻爆出後台1萬8千名志工個資恐有外洩之虞,世大運4日澄清說,事件應屬誤解,請志工放心。
台北市議員何志偉稱,有民眾反映,上述網頁有嚴重的資安漏洞,不需專業駭客,便可輕易取得後台1萬8千名志工個資,一覽無遺。
何志偉指出,該網站設計缺乏基本的資料安全設定,不但採用免費網域,連最基礎的加密措施(https)都沒做,有心人可以輕易擷取資訊。而這個查詢網站還有重大的SQL injection漏洞,若有人進行滲透測試,很有可能取得志工們所有個人資訊。
何志偉表示,雖然調查後發現是好心的志工幫忙設計,目前網頁也緊急下架,但世大運是我們國家全國性的賽事,投入了相當多的資訊安全經費,這個紕漏卻讓「讓好心的志工個資沒保障,好心沒有好報」。
何志偉呼籲,市府在處理個資時,應更有資安概念,該省的錢不能省,專業的工作還是交給專業,而且千萬不能究責這個熱心基層志工,不然市長也換志工做。
對此,世大運志工管理運用處對此澄清聲明並無此事,本事件應屬誤解。
世大運志工管理運用處表示,該查詢網站只能輸入志工個人身分證字號而去查詢其所屬服務場館名稱,並無其文字範本與個人資訊,也看不到其他人任何資訊,故無涉及任何個資問題。
世大運志工管理運用處說明,因志工場館實習在即,志工管理整合平台承包廠商又同時處理其他重要事項,無法回應本項需求,又本項查詢功能需求孔急,故由志工中心資訊管理專業同仁開發此一小型查詢資料庫網頁,其中並無其他個人進一步資訊,即使駭客駭入,亦得不到任何其他個資,對個人無任何危害,故無特別加密需要(加密處理技術需耗費更多時日),請志工放心。