【Lai傳媒 記者爆料網 爆料中心/台中報導】《記者爆料網》接獲一位115 學年度中投區高級中等學校免試入學考生爆料,聲稱他在志願選填期間協助建檔過程中發現嚴重資安破口,在群組提出後,遭主辦單位消極處理並踢出群組,讓他覺得主辦單位是「一邊滅火、一邊宣稱無事、再把吹哨者噤聲滅群」,讓他無法接受。
針對這名考生的質疑,主辦單位回應強調,當初是為了協助這位個別報名的考生能進行資料建檔,才會讓他看到帳號與密碼,事後帳密都會進行修改,且平時系統公司隨時都有監控有無不明人士侵系統,所有操作登入時間、更改資料項目都有記錄,確定並沒有發生資安問題。
至於該名考生稱沒有提供身份證,以及成績「P圖」疑慮,事實也不存在,因為成績早就建立在系統之中,不會因為在繳交志願卡時提供P圖造假資料而影響最後分發結果;另外,所謂「身份證明」的問題,因為早在積分審查時都確認過身份並建檔在系統中,由於這位考生是個別報名的「個報生」,未參加5月的積分審查,才會產生身份驗證的疑慮,由於當初建立群組的用意是讓每位「個報生」能同時收到資訊,但這位考生在卻群組中上傳不相關的內容與圖片,因此才會將他請出群組。

爆料人指出,建檔時,系統管理員直接在考生面前輸入帳號、密碼,且開啟「顯示密碼」,帳密完整暴露。該帳號權限可建立、修改學生的個人資料與成績分數。考生表示,過程中還能看到其他學生的資料。換句話說,只要在場任何一人記下這組帳密,就能登入系統、竄改全中投區學生的成績,並調閱個資。
爆料人說,有家長當場指出:「繳志願卡完全沒有用到身分證。」整個審核與程序皆為人工作業,缺乏身分驗證機制,此外,成績靠「手機照片」,零防偽、零二次審核,考生的成績是「直接提供成績單照片」給承辦人建檔,沒有任何防偽或覆核。意即只要把成績單 P 圖,「基礎(B)」可輕易變成「精熟(A)」,照單全收,無人複查。
爆料人還認為,最大爭議是主辦方的處理方式,事情被提出後,主辦單位(副總幹事)公告:「本會已經第一時間更改管理者密碼……資安並無問題」,同時警告「討論無關事項將退出群組」,隨即把提出問題的考生踢出群組。問題是如果資安真的沒問題,為什麼要「第一時間」緊急更改管理者密碼? 改密碼本身,就等於承認原本的帳密已經外流。






























