人事局表示該資料為6年前某專案所開放的資料,但結束後人員未刪除資料,導致Google連結主機輕易找到資料,目前已刪除相關紀錄。
對於外界報導Google搜尋可找到人事行政局個資,行政院人事行政局澄清係6年前因內部疏失洩露出去的舊資料,已向中華電信、Google要求刪除。
上週末媒體報導Google搜尋意外找出一筆人事行政局主管資料,內容包括中央到地方縣市、國立大學及技術學院等各級人事單位400多位主管資料,紀錄姓名、職稱、服務單位與個人身份證字號,因外洩資料數不小,引起外界對人事行政局出現重大資安漏洞的疑慮。
對此,人事行政局說明,經過內部調查該資料是6年前殘存在中華電信Cache主機的資料,資料來源並非來自人事行政局現有的全球資訊網主機。
人事行政局主任祕書張念中表示,這筆資料是6年前人事行政局人員執行考紀委員會票選委員活動時,開放程式票選所紀錄在中華電信主機上的資料,經過調查可能是當時專案結束後,人員未刪除資料導致Google搜尋連結,人事行政局已請中華電信刪除資料,並向Google要求刪除暫存檔。
人事局資訊室主任陳邦正指出,確實是內部人員疏失,導致當時資料未刪除,存放在FTP主機上,才會被Google搜尋找到。為了避免再次發生類似問題,已清查人事行政局內部網站、個資保管與應用程式,並在電子佈告系統加註警語,也向國家資安會報、廠商尋求協助開發程式,偵測網站是否仍有不適宜的資料。
儘管人事行政局指存放的資料已透過中華電信及Google刪除,且其中除了身份證字號別無其他資料,但資料對外開放已長達6年,雖然其中人員可能已有人事異動變化,但有心人士仍能找出仍在職的主管,並將身份字號作其他用途。
另外Google搜尋還可找到人事考核的系統操作說明,外人可窺見人事行政局內部檔案資料路徑,有心人士可能掌握資料存放的管理原則,進一步研究破解之道,對此陳邦正認為系統操作說明並未公開內部資料,資料庫也都存放在人事局內網且有帳號密碼管理存取,應不會成為駭客入侵的依據。
今年8月外交部也發生Google搜尋找到2000多筆外交部職員電子信箱帳號、密碼資料,事後證實為5、6年前負責外交部郵件系統外包商所洩出,這次人事行政局也發生類似問題,再再顯示出政府部門對重要資料的安全保護意識仍有不足。
文章來源:iThome