首页 >动态 > 内容

议员踢爆「北市单一陈情系统HELLO TAIPEI」app未加密恐外洩民众个资

动态 2021-03-07 22:08:40

图片来源:

翻摄自谢维洲脸书

台北市议员谢维洲今召开记者会,指台北市政府在去年推出「北市单一陈情系统HELLO TAIPEI」app,因前端使用者资料传输未加密,可能导致陈情民众资料外洩疑虑。台北市资讯局表示,仅发现Android版app有安全疑虑,已要求厂商改善并已重新上架。

谢维洲与资安团队合作,检视台北市政府在去年11月推出的「北市单一陈情系统HELLO TAIPEI」 app,发现不论是Android或iOS版本,前端的使用者资料传输没有妥善的加密保护,透过中间人攻击(Man-in-the-Middle Attack)就能取得陈情民众个资,包括姓名、帐号密码、身份证字号。

谢维洲指若从陈情系统上线至今,综合app及网页版本的民众陈情投诉立案数量来看,可能高达6万笔资料外洩,批评北市的单一陈情系统是单一出卖系统。另外,也质疑北市26个app可能也有类似的疑虑,要求下架检测。

台北市资讯局今天紧急回应,坦承Android版app确实有资安风险,合作的资讯业者去年开发Android版app,起先是以GCA政府凭证加密使用者的资料,但因为不明的原因不相容于Google Play,为让app得以上架,资讯厂商承诺以其他方式加密保护,去年11月已在Google Play上架。至于网页版、iOS版app则使用GCA凭证加密。

北市资讯局系统发展组决策支援股长陈崴逸坦承市府碍于经费有限,没有在每次app改版后进行原码检测,因此去年11月上架后没有对app作检测,直到今年7初资讯局为加强旗下服务的资讯安全,检视后发现从app到系统主机间的使用者资料传输保护安全性不足,较凭证加密保护弱,有心人士可能截取使用者资料,已要求厂商改用其他的商业凭证,7月10日通过Google Play审核重新上架。

对于议员指称可能高达6万多笔资料外洩,陈崴逸表示,目前有安全疑虑的是Android版app,网页版及iOS版本没有此疑虑,Android版从去年11月上线至6月底为止,下载次数约3700次,但并有发现资料外洩的情形。另外,民众透过app陈情必需先具有网路市民身份,通过身份验证登入系统,因此陈情系统仅储存基本资讯,包括帐号密码、姓名、电子邮件,如需要进一步联繫,才会请民众提供手机。至于身份证字号则是储存于网路市民系统,陈情系统并不会储存。

资讯局也对软体开发使用不够完善的保护措施,导致可能有资料外洩风险感到抱歉,强调未来会加强软体的安全检测,让民众可以安心使用。

在稍早之前,今年6月上线的北市智慧支付平台pay.taipei,整合8种支付工具,民众透过该平台可支付各种费用,如水费、停车费、看诊费等等,配合该平台推出的app也被发现未加密回传的使用者资料,恐曝露资料外洩风险,北市府也偕同厂商改善app。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。