北市员工薪资资料惊爆外泄，资讯局：15年老旧系统闯的祸

台北市惊爆员工薪资资料外泄，员工薪资资料竟可被Yahoo搜寻找到，台北市资讯局今早指出因薪资管理系统老旧导致这起事件，经盘点后仅190笔资料外泄，已通知可能受影响的员工提高警觉心。

日前北市府员工使用Yahoo搜寻，意外搜寻到北市府员工薪资资料连结，向北市府通报后，北市资讯局紧急关闭连结，国内媒体报导北市府在不知情下外泄大量员工资料，高达7万多名北市府员工资料可能因此外泄，北市资讯局今早对外公开说明，澄清薪资系统数据库并未被入侵，仅190笔员工薪资资料可能外泄。

台北市资讯局主任秘书陈慧敏表示，一位网络警察以Yahoo搜寻警察同仁资料，意外搜寻到内湖分局、工务局等北市府外单位的员工薪资资料连结，资讯局于1月9日晚上7点20分接到警局通报，初步认为约50笔员工资料受影响，属一二级资安事件，在接获通报后10分钟后由组长级主管处理、关闭连结。后续媒体报导，中央将该事件升至第三级事件，要求加强资料盘点、系统安全的检查。

经调查后资讯局认为Yahoo搜寻查询到北市员工薪资资料连结，约有190笔资料项目，包含了员工的姓名、职等、薪资、银行账号等，主要因为市府的“薪资发放管理系统”太过老旧，赶不上采用新技术强化搜寻能力的搜索引擎，“薪资发放管理系统”从民国91年开发迄今已使用15年，当时开发的程式设计语言无法因应现今快速发展的搜索引擎技术所致。

对于外传市府7万多员工资料全都露，陈慧敏澄清，“薪资发放管理系统”并不是一次产出所有的市府员工薪资资料，而是分批每次产出近200笔资料，同时为了方便府外单位存取这些资料，资料会存放于暂存区，这次事件Yahoo搜寻找到的是暂存区内员工薪资资料文件的连结，并非文件档案本身，由于新产出薪资资料会覆盖旧资料暂存，盘点后受影响约190笔资料，已通知受影响市府员工提高警觉心，如使用网络银行则需加强密码强度。

虽然北市府澄清只是员工薪资资料的暂存档连结被外部搜索引擎找到，但市府无法说明这些员工薪资资料外露的时间有多长，是否已遭有心人士存取利用。另外，不同搜索引擎采用的技术不同，并未发现Google或百度搜寻可找到相同的资料连结。

据了解，李维斌接任北市资讯局长后，重视资讯安全，前年先盘点市府各个主要、子系统，去年更邀专家进行要求资安健诊，并推动老旧系统翻新，例如前年市府编列预算，去年开始进行公文系统、单一申诉系统的翻新工作，其中公文系统将在今年完成翻新。

陈慧敏表示，薪资管理系统的原始设计无法因应现今技术发展，也无法透过弱点扫描等检测工具事先发现。 北市议会昨天已通过今年2300多万元预算，今年将继续翻新市府各个系统的工作，经过这次事件后，市府已决定将过于老旧的薪资管理系统列为优先翻新的项目。