有民眾上網找資料,竟發現457筆全國人事行政主管名錄、身分證字號全都露!民眾沈先生日前向《蘋果》爆料,用Google找資料,發現鍵入關鍵字「p09身份證xls」,可搜尋人事行政局資料的excel檔,《蘋果》向人事局查詢,起初他們還搞不清楚,經一天處理,已要求Google移除,但人事局發現html版未移除,再度要求,6日對方答覆已移除,但至今仍未解決,已發文請台灣Google處理。國安人員警告,這是資安大漏洞,主管機關有疏失,人事局承諾加強內控。
警方說,這種身分證全都露情形很危險,有心人士若取得他人身分證字號,可在網路上申請會員帳號,如人頭電話卡或信用卡號進行認證,就能進行網路購物,甚至可在拍賣網站偽裝成賣家、買家,用以詐財。另外,偽造證件集團會以收集到的個資,製作假身分證件、駕照或健保卡,貼上照片後賣給通緝犯,遇到臨檢時,執勤警員核對身分證號查無發布通緝,若稍有疏忽,可能就讓犯人溜走。
這批檔案有全國人事行政主管人員姓名、職稱、身分證字號,遍及中央機關、國立大學、公立醫院及地方政府。查證資料中的內政部王惠珠,她說,C開頭的身分證字號確實是自己的,但她已於9月21日退休。
「資安出大問題」
國防部、行政院退除役官兵輔導委員會坦承,這份名單包括不少現役軍職人員。一名國安單位人士表示,這些資料屬個資外洩,「資安上出了很大的問題,主管機關有疏失!」
網站將全面體檢
該國安人士強調,人事行政局與研考會已緊急處置,至於資料是否具有機敏性,由人事局自行認定。
人事局資訊室主任陳邦正第一時間對為何資料外洩並不知情,緊急通報行政院資安會後,資安會幕僚、行政院研究發展考核委員會副主委宋餘俠說,外洩的是5年前資料,所以只能算是三級的一般狀況,由人事局自行處理即可,人事局也已將Google主機暫存檔刪除。陳邦正說,應該是Google功能太強大,Yahoo!、HiNet等搜索引擎並沒有類似狀況,會加強內控。
人事局地方行政研習中心網站,日前才傳出大量身分證字號外洩,近日又出包,局長吳泰成已指示全面體檢內部網站、個資保存與程式等。
爆料者沈先生是資訊人員,常上網測試。沈先生研判,該連結在Google搜尋結果第一筆,內部檔案時間序有被改過,「顯見很多人都瀏覽過了,如果會使用Linux系統的人,可以輕鬆進到內部網站,等於不設防。」「私人企業不會犯這種錯,政府應該管控更嚴謹,但人事局最近卻一再犯錯,顯見內控太散漫,讓我們的稅金繳得很不值得!」
