一、近日有非官方第三方校務查詢之手機應用程式,公開提供學生下載登入查詢課表、成績、缺曠、獎懲等校務資料之服務。該等工具非屬學校、教育主管機關或校務行政系統廠商正式授權建置之系統,且可能透過自動化程式、爬蟲技術或第三方應用程式代為登入等方式存取校務行政系統資料,涉及學生帳號密碼、驗證憑證及個人資料安全,應予審慎處理。
二、校務行政系統內含學生學籍、成績、出缺勤、獎懲等個人資料,倘學生將校務系統帳號密碼輸入未經學校授權之第三方應用程式、網站或工具,可能衍生帳密外洩、驗證憑證遭不當使用、資料遭轉送或快取,以及非本人資料遭查詢等風險。請加強學生資通安全及個人資料保護宣導,提醒學生應透過學校正式提供之校務系統查詢個人校務資料,不得將校務系統帳號密碼提供或輸入未經學校授權之第三方工具;如曾使用相關非官方工具,宜儘速變更密碼,並留意帳號是否有異常登入情形。
有關教育部國民及學前教育署函示加強校務行政系統帳號密碼及個人資料安全宣導案,本校校務系統廠商-澔學學習股份有限公司說明如后。
說明:
一、依據教育部國民及學前教育署中華民國115年5月20日臺教國署高字第1155402124A號函辦理。
二、針對近日引發資安疑慮之非官方第三方手機應用程式(Vocpass),本公司技術團隊已於第一時間進行全面防護清查與資料庫對接盤點,現就 貴校所使用之「ischool校務行政系統」安全性及防護現況說明如下:
清查結果安全無虞: 經技術團隊核對 Vocpass 目前支援及讀取之學校清單與資料庫,確認本公司(ischool)服務之學校(含 貴校)均未在其讀取與存取範圍內。貴校之學生學籍、成績、出缺勤及獎懲等校務資料 ,均未遭到該程式之自動化爬蟲或第三方工具存取 ,個資安全無虞 。
第三方高安全性身分驗證(SSO): 本系統針對 貴校師生之登入架構,已全面整合並採用第三方身分驗證機制,包含 Google 帳號(Google Account) 以及 教育部/縣市教育局之 OpenID 認證系統。
無密碼外洩風險: 在此架構下,校務系統內部並不直接留存、代管師生之原始密碼。當使用者登入時,是透過上述官方認證中心進行安全憑證交換 。因此,即使坊間第三方工具企圖以傳統帳密組合進行暴力破解或自動化代登入 ,亦無法繞過 Google 或 OpenID 的高強度安全防護機制(如異常登入阻斷等),能從根本上阻絕帳密外洩與非本人資料遭查詢之風險 。
三、 為協助 貴校落實國教署之資安宣導要求 ,本公司建議 貴校可向師生宣導下列事項,從源頭強化帳號防禦:
啟動 Google 二階段驗證(2FA): 鑑於本系統已整合 Google 身分驗證,建議 貴校宣導(或由學校資訊單位強制要求)師生開啟 Google 帳號的「二階段驗證」功能。如此一來,即使學生不慎在其他第三方平台洩漏了密碼,該平台(或非官方 App)在進行登入時,仍會被 Google 的安全機制阻擋,必須通過學生的手機裝置或推播確認才能登入,能有效杜絕自動化爬蟲與非法代登入之風險 。
僅使用官方管道查詢: 宣導師生應僅透過學校官方指定之校務系統、或本公司正式授權之管道查詢個人校務資料 。
切勿交付帳密與憑證: 提醒師生切勿將個人之 Google 帳號、OpenID 帳密或相關驗證憑證 ,輸入或提供給任何未經學校或本公司授權之第三方應用程式、網站或工具 。
