資訊局坦言疏失

智慧支付平台「pay.taipei」周日宣布正式上線,讓民眾可以電腦或手機使用該平台支付北市水費、停車費、聯合醫院看診等費用。不過才上線2天,就被發現pay.taipei的安全性嚴重不足。

Gandi.net亞洲區總經理 Thomas Kuiper試用該平台後,在網路上發文指出,「pay.taipei」的APP連https(超文字傳輸安全協定)都沒用上,密碼還是以純文字傳送,而且用固定IP傳輸資料,讓個資都採用明碼,恐有個資外洩風險,告誡民眾不要用此平台。

資訊局應用服務組長林郁傑坦言,第一版智慧支付平台的超文字傳輸協定是用沒加密的http,而非經過加密的https,所以帳號與密碼都採明碼傳輸,確實有外洩風險,亦即具備一定技術的人,如駭客有辦法透過監控軟體去拆看資訊傳輸的封包,進而將個資洩露。

iOS版先別下載

林郁傑表示,有問題的是透過手機APP下載,目前Android、iOS都有相同狀況,且因為帳號密碼是綁定手機,所以有手機號碼外洩的可能。

資訊局表示,設計此平台的藍新科技已緊急修正,暫時先將不安全的傳輸斷線處理,預計先搶修Android系統的智慧支付平台改為加密版本,民眾今日需下載新的版本才能使用。而iOS系統要等蘋果公司核定,預計要等待2至3日,建議用iPhone的民眾先不要下載。

智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。資訊局表示,此案採取最有利標方式讓廠商競爭,與藍新的合約有要求進行加密傳輸,待釐清相關責任後會做處置,目前首要的是先做緊急搶修。

#支付 #平台