盧浮宮視訊監控系統密碼被爆出「簡單到匪夷所思」,就是「LOUVRE」幾個字。(路透)
法國媒體《解放報》(Libération)揭露,羅浮宮(Louvre)多年來的資安問題簡直無可救藥,監控室伺服器密碼竟然就是「Louvre」,門禁系統到現在還在用Windows
Server 2003,而且已經23年沒更新,顯示這座全球最著名博物館的安全漏洞百出,而且未獲改善。
根據內部稽核報告與招標文件,早在2014年,法國國家資訊系統安全局(ANSSI)受羅浮宮委託進行資安檢測時,便發現嚴重問題。專家竟能輕易入侵館內網路,只因某些關鍵系統使用極其簡單的密碼──例如輸入「LOUVRE」即可進入監控伺服器,「THALES」可開啟法國航太國防巨擘達利思(Thales)開發的安全軟體。
當年的報告即指出,這些漏洞讓駭客有機會控制監視系統、修改門禁許可權,甚至癱瘓博物館的保全設施。ANSSI當時建議全面更新密碼、修補軟體漏洞並汰換過時系統,但羅浮宮並未明確回應是否落實。
安全系統還在用過時Windows系統
到了2017年,新一輪內部稽核仍發現「重大缺失」,包括監控系統老舊、維修不完全,且部分電腦仍在使用早已停更的Windows
2000與XP。報告警告,若不改善,羅浮宮恐難防止潛在的嚴重事件。
後續文件顯示,至2025年仍有多達8款與保全相關的軟體「無法更新」,其中包含管理監視與門禁的Sathi系統,該系統由達利思於2003年開發,但早已停止維護,仍運行於Windows
Server 2003平台上,而微軟自2015年起已不再提供安全更新。
今年初,巴黎警方再度對羅浮宮的安全中心進行審查。雖結果尚未公布,但調查官在參院指出,博物館的資訊基礎設施「迫切需要現代化」,而館方「非常清楚現有系統的不足」。
10月19日發生的羅浮宮國寶竊案後,法國文化部長達提(Rachida
Dati)原本強調「警報系統運作正常」,但十天後改口承認確實存在安全漏洞,並下令全面審查與修補資安缺陷。