蘋果 https://goo.gl/3xoQs1
台北市府本月19日將主辦台北世大運，有1萬8千人報名擔任志工，近日北市府開始發放工
作服，卻傳出志工裝備領取查詢平台的志工個資恐遭外洩，市府挨批行事草率。世大運組
委會表示，該查詢平台為組委會同仁建置，目前賽會在即，就是先把事情做完，是否會懲
處之後才會討論。對於外界傳聞世大運志工有個資外洩，世大運志工管理運用處澄清並無
此事，應屬誤解。
市議員議員何志偉說，昨台北世大運志工FB粉絲頁發佈「志工裝備領取查詢
(2017volunteer.tk)」網頁，供志工上網用查詢裝備領取地點，他接獲民眾爆料該網站設
計有嚴重資安漏洞，不但採用免費網域，連最基礎的加密措施（https）都沒做，有心人
可輕易擷取資訊；該查詢網站還有重大的SQL injection漏洞，若有人進行滲透測試，可
輕易取得後台1萬8千名志工個資。
世大運發言人楊景棠表示，昨晚內部同仁為方便查詢志工服勤裝備配置及服勤地點調配，
因此建置志工裝備領取查詢平台，今早因資安考量立即關閉，影響不大。
何志偉說，調查發現該網站是好心志工幫忙設計，網頁現也緊急下架，但世大運是國際性
質全國賽事，政府投入相當多資安經費，此紕漏卻讓「好心的志工個資沒保障，好心沒好
報」。他呼籲市府處理個資時應更有資安概念，該省的錢不能省，專業工作還是交給專業
人士，也不能究責該名協助設計網站的熱心志工。
資安專家表示，網站上若沒有https代表網頁在「傳輸」時沒做到加密，但駭客要藉此竊
取資料並不容易，只代表網頁設計不夠好；但若出現SQL injection漏洞，代表攻擊者可
用特殊語法竊取資料庫內的資料，造成資料外洩，此為很嚴重的疏失。
世大運志工管理運用處表示，該查詢網站只能輸入志工個人身份證字號而去查詢所屬服務
場館名稱，並無其他個人資訊，也看不到其他人任何資訊，故無涉及任何個資問題。因志
工場館實習在即，志工管理整合平台承包廠商又同時處理其他重要事項，無法回應本項需
求；又本項查詢功能需求孔急，故由志工中心資訊管理專業同仁開發此一小型查詢資料庫
網頁，其中並無其他人進一步個資，即使駭客駭入亦得不到任何其他個資，對個人無任何
危害，故無特別加密需要（加密處理技術需耗費更多時日），請志工放心。（生活中心／
台北報導）