新北等眾多縣市校務行政系統存在任意讀取個資漏洞

影響範圍. 全誼科技所維護之各縣市校務行政系統. 新北市國中小 · 新竹縣國中小 · 花蓮縣 · 基隆市; 其他某些學校，詳請參見全誼網站 ... 影響範圍 全誼科技所維護之各縣市校務行政系統 新北市國中小 新竹縣國中小 花蓮縣 基隆市 其他某些學校，詳請參見全誼網站 發現過程 由側邊攔家長帳號登記內家長帳號申請輸入家長身份證字號 並在點擊檢查後無條件顯示資料 期間共發出這筆POSTRequest 且不需帶認證資料、驗證碼 POSThttps://esa.ntpc.edu.tw/jsp/olreg/OlregAction.do?method=getAdData idno=A123456789 [{"birthday":"2014/09/01","AD":"1","name":"陳思卉","birthday1":"20140901","birthday2":"103/09/01","idno":"A123456789"}] 自動帶出此身份證於資料庫的姓名、生日 後記 此漏洞已於回報後改為需要帶已登入之SessionID 但仍未加入驗證碼或是限制短時間內請求次數 由於學生ID為身份證字號，如有心要利用，可以同縣市內大多數學生之身分證prefix(Ex.A131,F230,etc.)取得大量資料 如有大量對照清單，等同於取得學生身份證字號 新北市教育局則於Oct26發函給各校 有關民間資安通報平台指出，新北市校務行政系統具有系統漏洞，可於免登入狀態，透過特定網址直接查詢個人資料事宜，恐有個資洩漏疑慮。

經查證，該系統確有此查詢功能，惟需在知悉查詢對象完整身分證字號前提下，方可成功查詢， 且資料僅限於生日及姓名，原設計目的係當子女代為申請家長帳號時，系統可自動比對該身分證字號是否已存在於系統內，並代出生日及姓名提供予導師，方便確認家長身分，避免因身分證字號輸入錯誤，造成非學生家長獲得家長帳號權限。

另本局於105年9月27日接獲通知後，即於當日完成程式修正，使用者須為新北市學生，並使用該系統帳號密碼登入狀態下，方可使用該查詢功能，並加入相關機制，避免有心人士透過程式大量查詢，本局亦將持續關注資安議題，強化個人資料保護。

時間軸 日期 事件 Sep25 發現漏洞並通報HITCONZeroDay Sep27 HITCONZeroDay通報負責廠商處理 Oct05 再次確認時發現已加上session驗證 Oct15 廠商通知已修補 Oct25 隱藏頁面，顯示「500發生錯誤」圖片 Oct27 重新加入頁面，改為須驗證碼，且僅回傳拿掉第二字的姓名 Nov09 HITCONZeroDay公開此漏洞 相關連結 HITCONZeroDayReportZD-2016-00227 同套系統學生輔導資料外洩漏洞 Sean 本名韋詠祥，習慣用英文Sean暱稱。

自國中開始接觸程式，至今善於組合各種技巧，用來解決生活周遭的問題。

以參加演算法競賽、資安攻防搶旗賽等為樂趣。

ReadNext SmokepingConfigGenerator ReadPrevious Smokeping-網路延遲數據(圖表)