行政院勞委會職業訓練局職訓 e 網未做好安全防護,導致 9 萬多筆網站學員的個資,暴露在可能遭盜用的危機中!有民眾發現,只要更改報名課程網頁網址後五碼的報名序號,即可輕易查到其他報名民眾的身分證字號,直呼太離譜。職訓局坦承疏失,已關閉網頁,造成民眾恐慌願致歉。專家批評,「明顯失職!」顯見職訓局未做好防範措施,應改善。
「姓名與身分證字號被公開在網路上,太沒保障了。」台北吳先生說,6 月底他到職訓 e 網報名職訓課程,報名完後,會出現個人報名課程明細網頁,網址後 5 碼數字,與他的報名序號相同。他嘗試更改網址後 5 碼序號,竟查到其他人的報名資料。「原本只是好玩試試看,沒想到竟輕易就可看到別人的資料,要是被濫用怎麼辦?」嚇得他立即刪除自己的報名資料。
坦承疏失改程式
7 月 2 日記者也到職訓 e 網報名職訓課程,取得報名序號及出現個人報名課程明細網頁後,試著更改個人報名課程明細網頁網址後 5 碼,果然輕易查詢從 2005 年至今,所有報名參加訓練課程民眾的姓名、身分證字號、課程報名明細等,共 9 萬多筆資料,顯見職訓局的網頁安全防護做得不確實,的確易造成民眾個資外洩。
對此,職訓局職業訓練發展組科長黃俐文坦承疏失,指職訓e網的課程報名系統上線
測試時,並未發現更改網址後 5 碼序號即可查詢到其他民眾的資料,經查並無查到有人利用此種方式大量查詢民眾個資。
科長黃俐文說,已關閉系統,並要求承包廠商重新改寫程式,也會立即釐清是否為廠商設計時的安全漏洞,造成民眾恐慌願致歉,日後也將更加強網域安全的維護。
若有損失可求償
銘傳大學公共事務學系助理教授陳朝建表示,職訓局本應妥善維護報名民眾的個資,卻讓第三者可輕易窺見民眾的身分證字號,顯見職訓局未做好防範措施,雖情節不是很嚴重但已失職,應立即改善。承理法律事務所律師張克西則說,民眾若因此產生損失,可舉證向職訓局求償。
避免個資外洩自保之道
- 避免使用同一組帳號、密碼,登入各大網站。
- 在網站上填寫個人資料時,應留意網站有無加密保護,避免個資遭駭客攔截。
- 電腦定時掃毒,避免駭客竊取資料。
- 發現個資曝光,應立即聯絡對方,要求撤下。
http://1-apple.com.tw/index.cfm?Fuseaction=Article&Art_ID=30735734&IssueID=20080710
相關連結:
•
花旗漏洞/網路申辦出紕漏 曹志誠發現網站開後門
http://www.nownews.com/2003/11/11/157-1541900.htm
•
花旗漏洞/惹禍網頁委外製作 內部控管又疏漏 花旗補強
http://www.nownews.com/2003/11/11/184-1541943.htm
