世大運將於本月19日登場,北市府共號召1萬8000名志工參與,但有議員爆料,可供志工上網查詢裝備領取地點的「志工裝備領取查詢」網頁,有資安外洩疑慮。對此,世大運組委會今(3)日表示,得知消息後已緊急關閉網頁;負責志工的北市府社會局則強調,資料庫僅可查詢所屬場館名稱、場館實習時間等資料,並無敏感個資。
民進黨籍台北市議員何志偉表示,有民眾投訴台北世大運志工臉書專頁昨(2)日晚間發布的「志工裝備領取查詢(2017volunteer.tk)」網頁,有嚴重資安漏洞,除缺乏基本的資料安全設定、採用免費網域外,連最基礎的加密措施(https)都沒做,恐讓有心人輕易擷取資訊。
何志偉說,該網站有重大的SQL injection漏洞,若有人進行滲透測試,很有可能取得所有志工的個人資訊。他也批評,世大運屬全國性的賽事,投入相當多的資安經費,這個紕漏卻讓「讓好心的志工個資沒保障,好心沒有好報」。
世大運組委會指出,該平台是有資管背景的熱心替代役,為了方便志工裝備領取、查詢服勤地點等資訊所設置,被反映有個資外洩疑慮後,已緊急關閉網頁。至於後續網頁是否將加密後再重新開啟,或是讓志工以電話方式詢問,還需再開會討論。
社會局則說,由於原世大運志工平台無法即時因應志工查詢所屬場館功能,因此志工中心才會自行開放查詢功能,資料庫僅可查詢所屬場館名稱、場館實習時間等資料,並無敏感個資。