示意圖。

台北市驚爆員工薪資資料外洩,員工薪資資料竟可被Yahoo搜尋找到,台北市資訊局今早指出因薪資管理系統老舊導致這起事件,經盤點後僅190筆資料外洩,已通知可能受影響的員工提高警覺心。

日前北市府員工使用Yahoo搜尋,意外搜尋到北市府員工薪資資料連結,向北市府通報後,北市資訊局緊急關閉連結,國內媒體報導北市府在不知情下外洩大量員工資料,高達7萬多名北市府員工資料可能因此外洩,北市資訊局今早對外公開說明,澄清薪資系統資料庫並未被入侵,僅190筆員工薪資資料可能外洩。

台北市資訊局主任祕書陳慧敏表示,一位網路警察以Yahoo搜尋警察同仁資料,意外搜尋到內湖分局、工務局等北市府外單位的員工薪資資料連結,資訊局於1月9日晚上7點20分接到警局通報,初步認為約50筆員工資料受影響,屬一二級資安事件,在接獲通報後10分鐘後由組長級主管處理、關閉連結。後續媒體報導,中央將該事件升至第三級事件,要求加強資料盤點、系統安全的檢查。

經調查後資訊局認為Yahoo搜尋查詢到北市員工薪資資料連結,約有190筆資料項目,包含了員工的姓名、職等、薪資、銀行帳號等,主要因為市府的「薪資發放管理系統」太過老舊,趕不上採用新技術強化搜尋能力的搜尋引擎,「薪資發放管理系統」從民國91年開發迄今已使用15年,當時開發的程式設計語言無法因應現今快速發展的搜尋引擎技術所致。

對於外傳市府7萬多員工資料全都露,陳慧敏澄清,「薪資發放管理系統」並不是一次產出所有的市府員工薪資資料,而是分批每次產出近200筆資料,同時為了方便府外單位存取這些資料,資料會存放於暫存區,這次事件Yahoo搜尋找到的是暫存區內員工薪資資料文件的連結,並非文件檔案本身,由於新產出薪資資料會覆蓋舊資料暫存,盤點後受影響約190筆資料,已通知受影響市府員工提高警覺心,如使用網路銀行則需加強密碼強度。

雖然北市府澄清只是員工薪資資料的暫存檔連結被外部搜尋引擎找到,但市府無法說明這些員工薪資資料外露的時間有多長,是否已遭有心人士存取利用。另外,不同搜尋引擎採用的技術不同,並未發現Google或百度搜尋可找到相同的資料連結。

據瞭解,李維斌接任北市資訊局長後,重視資訊安全,前年先盤點市府各個主要、子系統,去年更邀專家進行要求資安健診,並推動老舊系統翻新,例如前年市府編列預算,去年開始進行公文系統、單一申訴系統的翻新工作,其中公文系統將在今年完成翻新。

陳慧敏表示,薪資管理系統的原始設計無法因應現今技術發展,也無法透過弱點掃描等檢測工具事先發現。 北市議會昨天已通過今年2300多萬元預算,今年將繼續翻新市府各個系統的工作,經過這次事件後,市府已決定將過於老舊的薪資管理系統列為優先翻新的項目。


Advertisement

更多 iThome相關內容