據法國媒體《解放報》最新揭露,盧浮宮(Louvre)多年來的資安問題簡直無可救藥,監控室伺服器密碼竟然就是「Louvre」,門禁系統到現在還在用Windows Server 2003,而且已經23年沒更新,顯示這座全球最著名博物館的安全漏洞百出,而且未獲改善。
報道稱,根據內部稽核報告與招標文件,早在2014年,法國國家資訊系統安全局(ANSSI)受盧浮宮委託進行資安檢測時,便發現嚴重問題。
專家竟能輕易入侵館內網路,只因某些關鍵系統使用極其簡單的密碼──例如輸入「LOUVRE」即可進入監控伺服器,「THALES」可開啟法國航太國防巨擘達利思(Thales)開發的安全軟體。
當年的報告即指出,這些漏洞讓駭客有機會控制監視系統、修改門禁權限,甚至癱瘓博物館的保全設施。ANSSI當時建議全面更新密碼、修補軟體漏洞並汰換過時系統,但盧浮宮並未明確回應是否落實。
到了2017年,新一輪內部稽核仍發現「重大缺失」,包括監控系統老舊、維修不完全,且部分電腦仍在使用早已停更的Windows 2000與XP。
報告警告,若不改善,盧浮宮恐難防止潛在的嚴重事件。
後續文件顯示,至2025年仍有多達8款與保全相關的軟體「無法更新」,其中包含管理監視與門禁的Sathi系統,該系統由達利思於2003年開發,但早已停止維護,仍運行於Windows Server 2003平台上,而微軟自2015年起已不再提供安全更新。
今年初,巴黎警方再度對盧浮宮的安全中心進行審查。雖結果尚未公布,但調查官在參院指出,博物館的資訊基礎設施「迫切需要現代化」,而館方「非常清楚現有系統的不足」。
據報道,今年10月19日發生的盧浮宮國寶竊案後,法國文化部長達提原本強調「警報系統運作正常」,但十天後改口承認確實存在安全漏洞,並下令全面審查與修補資安缺陷。
盧浮宮這座全球最著名博物館的安全漏洞百出,而且未獲改善。中央社資料圖片
