1.媒体来源:
iTHome
2.完整新闻标题:
议员踢爆“北市单一陈情系统HELLO TAIPEI”app未加密恐外泄民众个资
3.完整新闻内文:
台北市议员谢维洲今召开记者会,指台北市政府在去年推出“北市单一陈情系统HELLO
TAIPEI”app,因前端使用者资料传输未加密,可能导致陈情民众资料外泄疑虑。台北市
资讯局表示,仅发现Android版app有安全疑虑,已要求厂商改善并已重新上架。
,检视台北市政府在去年11月推出的“北市单一陈情系统HELLO TAIPEI” app,发现不论
是Android或iOS版本,前端的使用者资料传输没有妥善的加密保护,透过中间人攻击(
Man-in-the-Middle Attack)就能取得陈情民众个资,包括姓名、帐号密码、身份证字号
。
谢维洲指若从陈情系统上线至今,综合app及网页版本的民众陈情投诉立案数量来看,可
能高达6万笔资料外泄,批评北市的单一陈情系统是单一出卖系统。另外,也质疑北市26
个app可能也有类似的疑虑,要求下架检测。
台北市资讯局今天紧急回应,坦承Android版app确实有资安风险,合作的资讯业者去年开
发Android版app,起先是以GCA政府凭证加密使用者的资料,但因为不明的原因不相容于
Google Play,为让app得以上架,资讯厂商承诺以其他方式加密保护,去年11月已在
Google Play上架。至于网页版、iOS版app则使用GCA凭证加密。
北市资讯局系统发展组决策支援股长陈崴逸坦承市府碍于经费有限,没有在每次app改版
后进行原码检测,因此去年11月上架后没有对app作检测,直到今年7初资讯局为加强旗下
服务的资讯安全,检视后发现从app到系统主机间的使用者资料传输保护安全性不足,较
凭证加密保护弱,有心人士可能截取使用者资料,已要求厂商改用其他的商业凭证,7月
10日通过Google Play审核重新上架。
对于议员指称可能高达6万多笔资料外泄,陈崴逸表示,目前有安全疑虑的是Android版
app,网页版及iOS版本没有此疑虑,Android版从去年11月上线至6月底为止,下载次数约
3700次,外泄的资料数量没有那么高。另外,民众透过app陈情必需先具有网络市民身份
,通过身份验证登入系统,因此陈情系统仅储存基本资讯,包括帐号密码、姓名、电子邮
件,如需要进一步联系,才会请民众提供手机。至于身份证字号则是储存于网络市民系统
,陈情系统并不会储存。
资讯局也对软件开发使用不够完善的保护措施,导致可能有资料外泄风险感到抱歉,强调
未来会加强软件的安全检测,让民众可以安心使用。
在稍早之前,今年6月上线的北市智慧支付平台pay.taipei,整合8种支付工具,民众透过
该平台可支付各种费用,如水费、停车费、看诊费等等,,恐曝露资料外泄风险,北市符
也偕同厂商改善app。
4.完整新闻连结 (或短网址):
http://times.hinet.net/news/20294222
5.备注:
#1ORDrNvi (Gossiping)
一堆人不是推的很爽, 哈哈