pay.taipei上線2天出包 恐個資外洩

台北市政府智慧支付平台「pay.taipei」出包!平台竟未將使用者資料加密傳出,讓使用者恐有個資外洩的風險。台北市資訊局坦言,廠商確實有疏失,目前平台網頁版和手機版都已暫時關閉,待搶修改為加密版本,根據資訊局統計,2天以來「pay.taipei」下載量約1000人次。

資訊局坦言疏失

智慧支付平台「pay.taipei」周日宣布正式上線,讓民眾可以電腦或手機使用該平台支付北市水費、停車費、聯合醫院看診等費用。不過才上線2天,就被發現pay.taipei的安全性嚴重不足。

Gandi.net亞洲區總經理 Thomas Kuiper試用該平台後,在網路上發文指出,「pay.taipei」的APP連https(超文字傳輸安全協定)都沒用上,密碼還是以純文字傳送,而且用固定IP傳輸資料,讓個資都採用明碼,恐有個資外洩風險,告誡民眾不要用此平台。

資訊局應用服務組長林郁傑坦言,第一版智慧支付平台的超文字傳輸協定是用沒加密的http,而非經過加密的https,所以帳號與密碼都採明碼傳輸,確實有外洩風險,亦即具備一定技術的人,如駭客有辦法透過監控軟體去拆看資訊傳輸的封包,進而將個資洩露。

iOS版先別下載

林郁傑表示,有問題的是透過手機APP下載,目前Android、iOS都有相同狀況,且因為帳號密碼是綁定手機,所以有手機號碼外洩的可能。

資訊局表示,設計此平台的藍新科技已緊急修正,暫時先將不安全的傳輸斷線處理,預計先搶修Android系統的智慧支付平台改為加密版本,民眾今日需下載新的版本才能使用。而iOS系統要等蘋果公司核定,預計要等待2至3日,建議用iPhone的民眾先不要下載。

智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。資訊局表示,此案採取最有利標方式讓廠商競爭,與藍新的合約有要求進行加密傳輸,待釐清相關責任後會做處置,目前首要的是先做緊急搶修。

(中國時報)


推薦閱讀

發表意見
留言規則
中時電子報對留言系統使用者發布的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全了解,且同意配合下述規定:
  • 請勿重覆刊登一樣的文章,或大意內容相同、類似的文章
  • 請不要刊登與主題無相關之內容
  • 發言涉及攻擊、侮辱、影射或其他有違社會善良風俗、社會正義、國家安全、政府法令之內容,本網站將會直接移除
  • 請勿以發文、回文等方式,進行商業廣告、騷擾網友等行為,或是為特定網站、blog宣傳,一經發現,將會限制您的發言權限或者封鎖帳號
  • 為避免留言系統變成發洩區和口水版,請勿轉貼新聞性文章、報導或相關連結
  • 請勿提供軟體註冊碼等違反智慧財產權之資訊
  • 禁止發表涉及他人隱私、含有個人對公眾人物之私評,且未經證實、未註明消息來源的網路八卦、不實謠言等
  • 請確認發表或回覆的內容(圖片)未侵害到他人的著作權、商標、專利等權利;若因發表或回覆內容而產生的版權法律責任將由使用者自行承擔,不代表中時電子報的立場,請遵守相關法律規範
違反上述規定者,中時電子報有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝配合。