【本報訊】今年有逾十萬名中學文憑試及高考生賴以報讀大學的大學聯合招生辦法(JUPAS),其網站被發現有保安漏洞,系統設定及管理員資料任睇。識破漏洞的考生批評JUPAS不可靠,擔心黑客入侵,網站會洩漏學生資料。互聯網保安專家指出,JUPAS網站保安不足如「未封後門」,錯漏「離晒譜」。記者:歐陽子瑩
首屆文憑試考生Billy向本報表示,早前在JUPAS網站瀏覽學科資料時,忽發奇想打算測試一下網站的保安,結果發現網站有漏洞。本報根據他提供的網址,進入JUPAS網站一個頁面,在一頁程式碼中,發現伺服器內約六、七名系統管理員的名稱及登入名稱,但未見任何密碼。
Billy稱,若黑客發現漏洞,只要多花時間,有機會「撞入」系統內其他檔案,甚至入侵數據庫。作為考生,他擔心被人竄改選科資料,「個網站好唔可靠,話晒有逾十萬考生用,對學生好冇保障!」
香港互聯網協會互聯網保安及私隱工作小組召集人楊和生表示,網站出現此情況,顯示程式設計有漏洞,「冇妥善封閉後門、冇檢查某啲檔案係咪對外封鎖」。他更發現,系統的設定同樣「任睇」,直指「呢個好唔掂」。他指此等漏洞屬低級技術問題,「現今寫程式仲有呢個問題真係離晒譜,接受唔到」。
楊和生表示,網站雖然沒有洩漏密碼,但系統設定被一覽無遺,黑客可透過搜索漏洞,從而進行攻擊或進入其他未加密的資料庫,亦可利用外洩的管理員登入名稱,「撞」密碼進入網頁或登入其他電郵。
JUPAS攔截洩密頁面
本報向JUPAS辦事處查詢後,處方急忙「補鑊」,「洩密」頁面翌日已不能再登錄。不過,辦事處發言人回應時,卻否認有關情況乃漏洞,表示顯示的名字乃系統管理員的帳號名稱,沒有密碼,亦與學生個人資料無關,並無洩漏有關資料。發言人又稱,沒有人入侵網站,有信心現有保安措施有效。