【記者陳慶徽綜合報導】清華大學線上系統爆發系統安全爭議。清大物理系學生陳二中9日在網路上發起連署,指出清大研究生考試報名系統有安全疑慮,報名學生個人資料恐外流。目前已有逾100位學生參與臉書連署活動。
陳二中表示,他只學過一學期的網頁設計相關課程,卻可利用基礎的網頁程式碼原理發現學校系統漏洞,顯示校方的資訊安全仍有待加強。
他表示,原本系統完全沒有加密,他向校方反映後,10月中校方針對個人密碼進行基礎加密,但有心人士仍可從系統漏洞中看見包括身分證字號、生日等基本資料。他希望透過連署讓校方重視此問題。
系統加密方法分為數種,由最基礎的簡單加密到嚴謹的專業加密等。然而,在專業人士眼中,只要是可以被突破,進而取得資訊者都被視為「未加密」的不安全系統。陳二中認為,學校掌握學生的基本個資,應將加密強度提升至專業加密。
就讀清大化學工程所的學生唐宇軒認為系統安全難免出問題,但校方應確實解決,免除個資外洩的風險,而非只是形式上的修正、互踢皮球。
清大計算機與通訊中心程式設計師呂若愚表示,這次學生反映的問題主要是在系統提供研究所考生列印准考證的服務,變更登入系統的檔案流水號名稱便可以獲取他人報名的基本資料,經學生反映後已立即改善。由於研究所招生還在進行中,將在招生作業結束後著手進行加密方法升級,提高學生個資的安全性。
知名網站「我的密碼沒加密」西元2011年開始陸續揭露包括台灣科技大學、104人力銀行與內政部等多所公私立機構系統密碼不安全。該網站指出,經解密還原出原始密碼的網站都被認定為不安全的密碼儲存機制。而學校的開發人員往往使用較方便作法管理密碼,資安思維待加強。
沒有留言:
張貼留言