面對臺北市議員在市政總質詢時,質疑臺北市政府和臺北市教育局的網站,在保管市民資料和學生資料的作法上有漏洞,並未盡到妥善保管市民個人隱私資料之責。臺北市資訊處表示,將全盤檢討資料存放、欄位顯示的安全性法則,並將資訊委外廠商納入年度資安稽核的流程中,臺北市資訊處也針對臺北市各局處機關,推出網路應用程式滲透測試服務。
臺北市政府網站對於市民登入,並沒有限制帳號密碼輸入錯誤的次數,將使得有心人士可以透過各種猜字攻擊的自動化程式,不斷嘗試輸入各種帳號、密碼,進而登入網站、取得個資。
臺北市資訊處應用服務組組長陳俊男表示,臺北市政府網站是委外開發,在網站驗收的過程中,已經先利用自動化滲透攻擊的程式,對市府網站先行做過黑箱測試,針對常見的SQL Injection(隱碼攻擊)和XSS(跨站腳本攻擊)網站弱點,做到第一層的把關。對於網站設計未考慮到帳號密碼輸入錯誤次數的問題,北市府資訊處第一時間便要求委外廠商修改成,一旦登入多次錯誤後,就會暫時鎖住登入帳號。
此外,議員也質疑北市教育局推動的數位學生證平臺的登入安全性,因為清楚地提示帳號預設值是學號、密碼是身分證後4碼,有心人士可以透過資訊拼圖手法登入,進而取得學生與家長的個人資訊。
臺北市教育局資訊室主任韓長澤表示,數位學生證系統平臺在設計之初,為了方便學生家長使用,而提示帳號密碼的預設值,「臺北市教育局已在第一時間,馬上拿掉登入帳號密碼的提示,」並要求委外廠商將原本的4碼密碼增加為7碼。「而登入系統的帳號與密碼,將統一透過學校管道,轉達給學生家長,並不在網站上做任何的提示。」他說。
這兩起事件顯示,網站承包廠商在系統設計上,都忽略了適當揭露資訊的重要性。市府網站登入帳號、密碼沒有限制輸入錯誤的次數,臺北市政府數位學生證系統平臺,卻清楚告知帳號與密碼預設值為何,犯了過度揭露安全資訊的錯誤。
針對這一次的市政總質詢,臺北市副市長吳清基對此也召開專案小組會議,提出一連串的因應措施。陳俊男表示,不論是臺北市政府網站,或者是臺北市教育局數位學生證的資料,相關的個人資料除了做資料分級外,也都單獨存放在資料庫伺服器上。
在此同時,臺北市政府也重新檢視,包括各個機關局處單位的系統中,是否做到適當地揭露資料欄位,進而做到對個人隱私資料的保護。陳俊男認為,「不應該對外公布的資料,就絕對不要公布,」除了將這個流程納入北市府定期資安稽核的範圍中,「也將機關局處每半年1次的資安稽核,提升到每季1次。」他說。
確保市民資料安全是臺北市資訊處很重要的任務之一,陳俊男表示,為了確保市民資料的安全性,就必須確保臺北市政府機關局處,所推出的各種網路應用系統的安全性。因此,臺北市政府資訊處也正式對外宣布,為了落實各個機關局處網路應用系統上線前的安全性,北市府各機關可以提出申請,資訊處將對該網路應用系統,進行滲透測試,確保系統上線前的安全性。
陳俊男說,這一次資訊處也會同步制定各種標準作業程序(SOP),提供給相關機關局處參考,不論是機密資料網頁被搜索引擎網頁暫存後,該如何將庫存網頁下架?或者是機關網站該如何設定,避免機密資料因設定不當導致外洩等情況,都將有一套完整的規範可以參考。文⊙黃彥棻
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
