省過頭?世大運1.8萬志工個資外泄 市府急關閉網站

何志偉踢爆世大運又傳資安問題。(圖/何志偉議員辦公室提供)

記者陳家祥/臺北報導

2017臺北市大運即將在8月19日登場,但臺北市議員何志偉踢爆,世大運組委會建置的志工裝備領取查詢平臺個資外泄問題;對此,世大運組委會表示,這個平臺是爲了方便志工領取裝備,是熱心替代役幫忙設置有志工反映個資可能外泄後,已緊急關閉網頁

何志偉2日晚間踢爆,有民衆發現臺北世大運志工FB粉絲頁上發佈供志工上網用查詢裝備領取地點的「志工裝備領取查詢(2017volunteer.tk)」網頁,有嚴重的資安漏洞,不需專業駭客,便可輕易取得後臺1萬8千名志工個資,一覽無遺。

何志偉說明,該網站設計缺乏基本資料安全設定,不但採用免費網域,連最基礎加密措施(https)都沒做,有心人可以輕易擷取資訊。而這個查詢網站還有重大的SQL injection漏洞,若有人進行滲透測試,很有可能取得志工們所有個人資訊。

對此,世大運組委會表示,北市府原有「臺北市政府志工管理整合平臺」,但隨着賽事接近,每天都有上百通志工確認分流地點的詢問電話,因此有熱心的志工建置「志工裝備領取查詢平臺」,方便志工在系統中輸入身分字號後,可以立即得知自己的服務地點與服勤裝備配置,昨晚建置完成,今天有志工反映個資可能外泄問題,緊急關閉該網頁。

儘管經查後發現是好心志工幫忙設計,網頁也已緊急下架,但何志偉表示,世大運是全國性的賽事,投入相當多的資訊安全經費,這個紕漏卻讓「讓好心的志工個資沒保障,好心沒有好報」。他呼籲,市府在處理個資時,應更有資安概念,該省的錢不能省,專業的工作還是交給專業,而且千萬不能究責這個熱心基層志工,不然市長也換志工做。