原住民人力資源網洩漏個資,237筆應徵者資料全外洩

原住民人力資源網洩漏個資,237筆應徵者資料全外洩

每隔一陣子就會聽到某某網站、網路服務中的會員資料外洩,通常是遭駭客破解為多,但這回台灣的原住民人力資源網,卻是自己發生的失誤,可直接在求才頁面中讀取應徵者的資料,共237筆應徵者的資料全都見光。

今天(8/3)凌晨 PTT鄉民 mmurdoc 在八卦版 po 文,表示在原住民人力資源網的求才查詢頁面中,應徵者的資料全部遭到外洩。只要點選姓名,就能觀看完整性名、性別、婚姻狀況、就業狀況、地址、連絡電話、Email、最高學歷,以及工作意願、職業訓練志願、背景及專長等內容,聽說有應徵者甚至把身分證字號也給填上了。小編數了一下求才查詢頁面,共計有237位應徵者的資料遭到外洩。

原住民人力資源網洩漏個資,237筆應徵者資料全外洩

PTT 版友 mmurdoc 發現原住民人力資源網的應徵者資料遭到洩漏。

原住民人力資源網洩漏個資,237筆應徵者資料全外洩

原住民人力資源網的求才查詢頁面,點選左側姓名就可看到個資。

原住民人力資源網洩漏個資,237筆應徵者資料全外洩

資訊包含完整姓名、性別、婚姻狀況、就業狀況、地址、連絡電話等。

該事件在 PTT 八卦版曝光1小時後,已經無法連上原住民人力資源網,可能是伺服器無法承受流量、或是網站人員緊急處理中。相較於一般常聽到個資外洩是因為遭到駭客入侵,這種網站自己出包亮出個資的情況反而少見,只能說這些應徵者相當倒楣,希望不要被有心人士收集到資料才好。

延伸閱讀:

從 Dropbox 資料被盜事件,看使用者 10 個自保方法,強化 PC 與帳號安全

Chrome 在駭客大賽5分鐘內被攻破,都怪百萬美金太誘人!

氣象部落客勞倫斯
作者

有一個都市傳說,只要勞倫斯猴買了新東西,就會下雨。

使用 Facebook 留言
Ae05d59c1c23bf4b84acb66359a2cc0b?size=48&default=wavatar
1.  RC (發表於 2012年8月03日 05:12)
又出現受害者了
又是這種被不入流的寫程式工讀生胡搞瞎搞的網站
什麼資料該用 GET,什麼資料該用 POST 沒概念
然後撈資料愛用 SELECT * 省事
資安概論也不曉得讀到哪裡去了的白癡
反正外流也是外流別人的資料
不是外流他的資料
領完錢後回家好像不關他的事一樣
請到這種工讀生真替他們網站感到可悲
enzo
2.  enzo (發表於 2012年8月03日 09:04)
※ 引述《RC》的留言:
> 又出現受害者了
> 又是這種被不入流的寫程式工讀生胡搞瞎搞的網站
> 什麼資料該用 GET,什麼資料該用 POST 沒概念
> 然後撈資料愛用 SELECT * 省事
> 資安概論也不曉得讀到哪裡去了的白癡
> 反正外流也是外流別人的資料
> 不是外流他的資料
> 領完錢後回家好像不關他的事一樣
> 請到這種工讀生真替他們網站感到可悲

搞不好人家只給一點點薪水
專業也是需要尊重的
拿多少錢做多少事~不是嗎?
再說
誰沒嫩過、沒熬過?
況且接案常遇到接手別人的爛攤子
重刻?對方不想呢?
我就接手過資料庫未正規化的案子
我提議重新規劃,也分析了利弊,
但案主完全不想動。
也遇過想便宜了事的案主
一味地壓低價錢,還限制很短的時程、完全不管我的時程,
鳥毛東鳥毛西
說真的不是不能做,是不爽做。
我倒認為這種網站找工讀生做根本就是錯誤的決定。
工讀生還沒出社會,縱使上過課,實戰經驗未必足夠
案主找工讀生做,無視資安重要性的心態才可議吧..

所以樓上,不用這麼激動<( ̄︶ ̄)>
以我經驗來說,
最大的問題通常是出在案主身上。
狀況很多的...XD
5662a1b27767edc2b4ebe40681605402?size=48&default=wavatar
3.  怪叔 (發表於 2012年8月03日 12:14)
這種狀況跟什麼 GET POST SELECT * 都沒關係 ╮(╯_╰)╭
這是網站企劃沒經驗耍笨
不是程式設計師的錯
5662a1b27767edc2b4ebe40681605402?size=48&default=wavatar
4.  怪叔 (發表於 2012年8月03日 12:18)
應該只有特定人才能看到的卻可以讓不相干的人都看的到才是程式設計師的問題
但這是網站原本的規劃就有問題
5662a1b27767edc2b4ebe40681605402?size=48&default=wavatar
5.  怪叔 (發表於 2012年8月03日 12:30)
※ 引述《enzo》的留言:
> 我倒認為這種網站找工讀生做根本就是錯誤的決定。
> 工讀生還沒出社會,縱使上過課,實戰經驗未必足夠
> 案主找工讀生做,無視資安重要性的心態才可議吧..
這是政府機關的網站,都要經由競標發包
承包的都會是專業的外包網站製作公司
而且價格都比一般企業外包要貴很多
其實發包方事前也不會知道工程師能力如何
而這些外包公司通常是接了案以後再外包出去給SOHO程式設計師跟美工
我認為是懶散的政府員工需求書不完整驗收不確實(個資外洩)
碰上了無良外包公司只求利潤發包給便宜工讀生(介面很差)
ALK
6.  ALK (發表於 2012年8月03日 12:36)
從程設到驗證,都有很多機會可以發現。
自己出錯與漏洞攻擊都難免,但如何補救?
今天如果是企業,一定會究責,
不論是自建或外包,不會只怪罪程設;
但若是政府機關...小事化無吧!
Feaf97de690b7a2a8a9d1e61dac9ab8c?size=48&default=wavatar
7.  Johnny (發表於 2012年8月03日 16:29)
※ 引述《怪叔》的留言:
> 這是政府機關的網站,都要經由競標發包
> 承包的都會是專業的外包網站製作公司
> 而且價格都比一般企業外包要貴很多
> 其實發包方事前也不會知道工程師能力如何
> 而這些外包公司通常是接了案以後再外包出去給SOHO程式設計師跟美工
> 我認為是懶散的政府員工需求書不完整驗收不確實(個資外洩)
> 碰上了無良外包公司只求利潤發包給便宜工讀生(介面很差)
>

有時候不是公務員懶散,而是他根本不懂、外行領導內行,
因為費用掌握在公務員手上,廠商就算有能力,也只能聽令行事,
尤其是那種專案初期,廠商已經依專業能力把功能、架構都制訂完成,
然後公務員執行階段再來要求你改規格、改架構,

如果沒出包就皆大歡喜,公務員邀工、廠商領錢,
一旦出包,倒霉、扛責任的終究還是廠商,

因為這幾年常擔任公家單位委外案件的顧問,
這種情形已經見怪不怪了 ...
城市荒人
8.  城市荒人 (發表於 2012年8月03日 20:56)
這種事情讓民間很成熟的人力銀行做就好了
政府幹嘛老是做些吃力不討好又與民爭利還要向民間人力銀行業者要履歷的事呢!?
魯蛇實驗室
10.  魯蛇實驗室 (發表於 2012年8月04日 20:58)
※ 引述《5D小78》的留言:
> 記者抄完T課幫抄。囧rz
凌晨1點37分有人爆料,T客邦2點03分寫出來
不知道你所謂的比T客邦還早[抄]的記者在哪?
剛剛用幾個關鍵字查了一下,似乎沒有類似的報導?
發表回應
謹慎發言,尊重彼此。按此展開留言規則