單一陳情→單一出賣 北市APP平臺再傳資安漏洞

謝維洲踢爆北市府APP又傳資安漏洞。(圖/記者陳家祥攝)

記者陳家祥/臺北報導

北市柯文哲上任後力圖打造臺北成爲「智慧城市」,看準目前的行動作業平臺趨勢,陸續推出多個市政APP,讓民衆手機就可以進行繳稅、陳情等;但臺北市議員謝維洲13日踢爆,北市府動用1025萬打造、聲稱連「總統都可以陳情」的「Hello Taipei單一陳情繫統」,漏洞百出,連基本身分證號加密都沒有,等於只要民衆開始註冊,個資就有可能同步遭到攔截,資安防護措施徹底破功。

智慧城市破功 市府APP平臺資安漏洞頻傳

北市府資訊局近來風波不斷,日前斥資700萬建置的pay.taipei一上線就發生「背景資料未採用安全的方式傳輸問題下架更新,此次花費更高的「Hello Taipei單一陳情繫統」卻仍發生類似問題。所有的個資不管從哪一個手機系統傳輸到伺服器當中,完全沒有任何加密,這樣近乎全裸的資料,只要使用中間人攻擊(Man-in-the-middle attack, MITM)就可以將民衆輸入的身分證號、帳號密碼甚至投訴的理由全都側錄出去。

謝維洲表示,iOS、Android雙手機系統的App,自105年11月1日陸續上線,截至106年6月28日止,就有8770次的下載,並有4663人完成立案網頁版也有52575人完成投訴立案。謝維洲表示,若該程式遭攻擊,等於上萬名民衆的個資已經遭到側錄下載,大罵單一陳情繫統變成「單一泄漏個資的系統」。

▼單一陳情繫統APP。(圖/擷取畫面

廠商違約 需賠償民衆權益損失

對此,資訊局系統發展股長陳崴逸表示,本來提供給廠商的是中央政府的GCA憑證,但因爲不明原因無法通過Google Play的認證,因此要求廠商透過修改程式架構的方式維持資安層級,APP也於去年11月上架;但沒想到,今年7月2日發現廠商沒有克服漏洞,因此另外提供商業憑證的方式解決。

陳崴逸表示,依照與廠商簽訂的「單一陳情繫統建置案契約書規範,如果造成損失的話可以對廠商究責,「只要民衆通報,廠商一定要負責。」

對於資安泄漏的疑慮,陳崴逸表示,「單一陳情繫統」的APP只會要求使用者輸入姓名、手機、信箱等基本的聯絡方式,並沒有涉及身分證字號或是信用卡號等;此外,目前已知的APP漏洞,若要攻擊的話需要耗費相當高的成本技術,相對於資料的重要性,目前尚沒有傳出民衆受害的消息

資訊局:市府APP下半年逐一更新

關於中央提供的GCA憑證無法通過Google Play認證,資訊局主秘陳慧敏表示,去年就有與中央討論資安檢測該怎麼進行,市府在今年下半年也要求所有新的app,如果要key身分資料都要進行加密,「市府的26個APP,下半年就有針對要進行加密的逐一更新,如果發現是有問題的會立即更正改進」;此外,必要時也會究責廠商、要求賠償。