卫报上周踢爆,澳洲内政部的线上移民申请平台SkillsSelect含有隐私漏洞,允许任何人查询所有提出申请的ID,并记录了这些申请人的部分名字、国别、年纪、资格、婚姻状态与申请结果。
SkillsSelect可供有意移民到澳洲的各国人民“表达兴趣”(expression of interest,EOI),之后填写简单的申请资料,这些资料会被保存两年,通过资格审核的,就会收到澳洲的移民邀请。
根据报道,SkillsSelect是一个开放的网络应用,但只要点击两次,就能看到包括申请ID在内的申请记录,该平台总计存放了77.4万个申请ID,其中有18.9万个ID完成了申请程序,也能进一步以年纪或其它筛选资料缩小查询范围。
就在卫报向澳洲内政部求证之后,该部门并未回应卫报,但SkillsSelect的资料仪表板服务随即进入维护模式,迄今尚未重新开放。
这是澳洲政府近来遭遇的第二个隐私挑战,另一个是该国在今年4月底发布的新冠肺炎(COVID-19)关注程序COVIDSafe,但隐私保护团体及当地人们则质疑将个人信息上传到政府服务器,可能会危害隐私。
COVIDSafe奠基在新加坡政府所开源的TraceTogether关注技术上,它存放了手机用户在过去21天内曾经近距离接触的蓝牙记录,假设用户被确诊患新冠肺炎,且同意把蓝牙记录上传到政府服务器上,政府即可根据该记录通知曾与之近距离接触的对象。
不过,当地的隐私团体担心澳洲政府会滥用相关数据,因此要求政府要限制相关记录的使用,也应承诺在疫情结束后删除所有的资料。