卢浮宫视讯监控系统密码被爆出“简单到匪夷所思”,就是“LOUVRE”几个字。(路透)
法国媒体《解放报》(Libération)揭露,罗浮宫(Louvre)多年来的资安问题简直无可救药,监控室伺服器密码竟然就是“Louvre”,门禁系统到现在还在用WindowsServer 2003,而且已经23年没更新,显示这座全球最著名博物馆的安全漏洞百出,而且未获改善。
根据内部稽核报告与招标文件,早在2014年,法国国家资讯系统安全局(ANSSI)受罗浮宫委託进行资安检测时,便发现严重问题。专家竟能轻易入侵馆内网络,只因某些关键系统使用极其简单的密码──例如输入“LOUVRE”即可进入监控伺服器,“THALES”可开启法国航太国防巨擘达利思(Thales)开发的安全软体。
当年的报告即指出,这些漏洞让骇客有机会控制监视系统、修改门禁权限,甚至瘫痪博物馆的保全设施。ANSSI当时建议全面更新密码、修补软体漏洞并汰换过时系统,但罗浮宫并未明确回应是否落实。
安全系统还在用过时Windows系统
到了2017年,新一轮内部稽核仍发现“重大缺失”,包括监控系统老旧、维修不完全,且部分电脑仍在使用早已停更的Windows2000与XP。报告警告,若不改善,罗浮宫恐难防止潜在的严重事件。
后续文件显示,至2025年仍有多达8款与保全相关的软体“无法更新”,其中包含管理监视与门禁的Sathi系统,该系统由达利思于2003年开发,但早已停止维护,仍运行于WindowsServer 2003平台上,而微软自2015年起已不再提供安全更新。
今年初,巴黎警方再度对罗浮宫的安全中心进行审查。虽结果尚未公布,但调查官在参院指出,博物馆的资讯基础设施“迫切需要现代化”,而馆方“非常清楚现有系统的不足”。
10月19日发生的罗浮宫国宝窃案后,法国文化部长达提(RachidaDati)原本强调“警报系统运作正常”,但十天后改口承认确实存在安全漏洞,并下令全面审查与修补资安缺陷。
