【Lai傳媒 記者爆料網 爆料中心/台中報導】《記者爆料網》接獲一位115 學年度中投區高級中等學校免試入學考生爆料,聲稱他在志願選填期間協助建檔過程中發現嚴重資安破口,在在群組提出後,遭主辦單位消極處理並踢出群組,不過主辦單位隨後也在群組中PO文強調,已在第一時間就更改管理者密碼,並且所有操作登入時間、更改資料項目都有記錄,資安並無問題。
爆料人指出,建檔時,系統管理員直接在考生面前輸入帳號、密碼,且開啟「顯示密碼」,帳密完整暴露。該帳號權限可建立、修改學生的個人資料與成績分數。考生表示,過程中還能看到其他學生的資料。換句話說,只要在場任何一人記下這組帳密,就能登入系統、竄改全中投區學生的成績,並調閱個資。
爆料人說,有家長當場指出:「繳志願卡完全沒有用到身分證。」整個審核與程序皆為人工作業,缺乏身分驗證機制,此外,成績靠「手機照片」,零防偽、零二次審核,考生的成績是「直接提供成績單照片」給承辦人建檔,沒有任何防偽或覆核。意即只要把成績單 P 圖,「基礎(B)」可輕易變成「精熟(A)」,照單全收,無人複查。
爆料人還認為,最大爭議是主辦方的處理方式,事情被提出後,主辦單位(副總幹事)公告:「本會已經第一時間更改管理者密碼……資安並無問題」,同時警告「討論無關事項將退出群組」,隨即把提出問題的考生踢出群組。問題是如果資安真的沒問題,為什麼要「第一時間」緊急更改管理者密碼? 改密碼本身,就等於承認原本的帳密已經外流。一邊滅火、一邊宣稱無事、再把吹哨者噤聲滅群,這正是「社交工程+人為疏失」如何讓一個影響全區上萬名考生的系統淪陷的活教材。
