薪資系統外泄逾4萬員工個資! 監院糾正北市府
臺北市政府106年1月驚傳嚴重資安事件,部分員工的人身資訊、存款戶帳號、薪資津貼等資料遭外泄在網路平臺上。對此,監察院8日通過糾正案,監委高鳳仙、江綺雯也在糾正案文中指出,北市府近3年共編列2億1千餘萬元資安防護預算,卻發生至少19起資安事件,其中17起有系統漏洞且有明確事證可證實已發生資料遭泄漏、系統或資料遭竄改等情事,違失情節明確。
監察員8日發佈新聞稿指出,針對北市府於105年自行開發設計之「薪資發放管理系統」未妥善保護個資,導致部分公務員之姓名、薪資、考績等資料曝光於網路一案,以及北市府「智慧支付平臺 pay.taipei」及「單一陳情繫統Hello Taipei Android 版 APP」涉及使用者帳號、密碼等資料外泄等情事,監院已通過監委高鳳仙、江綺雯之調查報告及糾正案。
高鳳仙、江綺雯則在糾正案文中指出,北市府於100年間,將薪資系統主機由內網移至DMZ區,卻未完善資安防護之相關配套,於106年1月間爆發員工個資外泄事件,陷4萬餘名員工於個資外泄風險中,且因190筆薪資報表檔案連結外露,其中18張報表連結疑遭23個外部IP連結或下載,實際受影響之員工數達2313名;直到監察院約詢後,北市府始對疑遭個資外泄員工個別通知,有嚴重疏失。
▼監察院 。(圖/本報資料照)
監委也說,北市府「智慧支付平臺 pay.taipei」及「單一陳情繫統 Hello Taipei」資安事件,雖然採用國家發展委員會GCA SSL憑證進行加密,但該憑證當時與Google Play尚不相容,北市府卻未能及時督促得標廠商改採其他商業電子憑證,造成短期間連續爆發2件因未採用Https加密技術,導致個資外泄爭議,核有疏失。
監委還強調,北市府近3年來,共編列約新臺幣2億1千餘萬元之資安防護預算,卻發生至少19起資安事件,其中17起有「系統漏洞且有明確事證可證實已發生資料遭泄漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事,高達12起系肇因於「應用程式漏洞」或「軟硬體漏洞」,2起個資外泄,6起遭外部有心人士實際入侵,違失情節明確。