1.媒體來源:
iTHome
2.完整新聞標題:
議員踢爆「北市單一陳情系統HELLO TAIPEI」app未加密恐外洩民眾個資
3.完整新聞內文:
台北市議員謝維洲今召開記者會,指台北市政府在去年推出「北市單一陳情系統HELLO
TAIPEI」app,因前端使用者資料傳輸未加密,可能導致陳情民眾資料外洩疑慮。台北市
資訊局表示,僅發現Android版app有安全疑慮,已要求廠商改善並已重新上架。
,檢視台北市政府在去年11月推出的「北市單一陳情系統HELLO TAIPEI」 app,發現不論
是Android或iOS版本,前端的使用者資料傳輸沒有妥善的加密保護,透過中間人攻擊(
Man-in-the-Middle Attack)就能取得陳情民眾個資,包括姓名、帳號密碼、身份證字號
。
謝維洲指若從陳情系統上線至今,綜合app及網頁版本的民眾陳情投訴立案數量來看,可
能高達6萬筆資料外洩,批評北市的單一陳情系統是單一出賣系統。另外,也質疑北市26
個app可能也有類似的疑慮,要求下架檢測。
台北市資訊局今天緊急回應,坦承Android版app確實有資安風險,合作的資訊業者去年開
發Android版app,起先是以GCA政府憑證加密使用者的資料,但因為不明的原因不相容於
Google Play,為讓app得以上架,資訊廠商承諾以其他方式加密保護,去年11月已在
Google Play上架。至於網頁版、iOS版app則使用GCA憑證加密。
北市資訊局系統發展組決策支援股長陳崴逸坦承市府礙於經費有限,沒有在每次app改版
後進行原碼檢測,因此去年11月上架後沒有對app作檢測,直到今年7初資訊局為加強旗下
服務的資訊安全,檢視後發現從app到系統主機間的使用者資料傳輸保護安全性不足,較
憑證加密保護弱,有心人士可能截取使用者資料,已要求廠商改用其他的商業憑證,7月
10日通過Google Play審核重新上架。
對於議員指稱可能高達6萬多筆資料外洩,陳崴逸表示,目前有安全疑慮的是Android版
app,網頁版及iOS版本沒有此疑慮,Android版從去年11月上線至6月底為止,下載次數約
3700次,外洩的資料數量沒有那麼高。另外,民眾透過app陳情必需先具有網路市民身份
,通過身份驗證登入系統,因此陳情系統僅儲存基本資訊,包括帳號密碼、姓名、電子郵
件,如需要進一步聯繫,才會請民眾提供手機。至於身份證字號則是儲存於網路市民系統
,陳情系統並不會儲存。
資訊局也對軟體開發使用不夠完善的保護措施,導致可能有資料外洩風險感到抱歉,強調
未來會加強軟體的安全檢測,讓民眾可以安心使用。
在稍早之前,今年6月上線的北市智慧支付平台pay.taipei,整合8種支付工具,民眾透過
該平台可支付各種費用,如水費、停車費、看診費等等,,恐曝露資料外洩風險,北市符
也偕同廠商改善app。
4.完整新聞連結 (或短網址):
http://times.hinet.net/news/20294222
5.備註:
#1ORDrNvi (Gossiping)
一堆人不是推的很爽, 哈哈