世大運舉辦在即,目前已號召1.8萬名的志工協助活動,然而近日北市府開始發放志工裝備時,有人發現建置的志工裝備領取網頁「志工裝備領取查詢(2017volunteer.tk)」並未採https加密設計。且根據蘋果日報報導,該網站的資料庫亦有SQL injection漏洞,有心人可從漏洞取得1.8萬名志工的相關資訊。
網站是志工好心做的
根據世大運發言人楊景棠的說法,該網站是由好心的志工協助建置,發生問題後已經緊急下架。裝備領取網站是便於讓志工了解何處可領取裝備而設計,世大運志工管理運用處也表示,該網站僅能輸入身分證字號後,取得個人領取裝備的地點,並無其他個人資訊。
會發生這樣的狀況,乃因承包商同時處理其他重要事務,但這又是急迫性需求,因此由志工中心資訊管理設計網頁。就算管理單為所言屬實,從網頁設計常理判斷輸入任何敏感性資料的網站大多會建議採https加密,就算有心人無法從中獲得有利資料,但對志工而言仍是種保障。別讓來自願服務的志工有任何資安疑慮,應該是主辦單位需要盡的基本責任。
參考資料
https://www.cool3c.com/article/127443