▲謝維洲踢爆北市府APP又傳資安漏洞。(圖/記者陳家祥攝)
記者陳家祥/台北報導
台北市長柯文哲上任後力圖打造台北成為「智慧城市」,看準目前的行動作業平台趨勢,陸續推出多個市政APP,讓民眾用手機就可以進行繳稅、陳情等;但台北市議員謝維洲13日踢爆,北市府動用1025萬打造、聲稱連「總統都可以陳情」的「Hello Taipei單一陳情系統」,漏洞百出,連基本的身分證號加密都沒有,等於只要民眾開始註冊,個資就有可能同步遭到攔截,資安防護措施徹底破功。
智慧城市破功 市府APP平台資安漏洞頻傳
北市府資訊局近來風波不斷,日前斥資700萬建置的pay.taipei一上線就發生「背景資料未採用安全的方式傳輸」問題下架更新,此次花費更高的「Hello Taipei單一陳情系統」卻仍發生類似問題。所有的個資不管從哪一個手機系統傳輸到伺服器這當中,完全沒有任何加密,這樣近乎全裸的資料,只要使用中間人攻擊(Man-in-the-middle attack, MITM)就可以將民眾輸入的身分證號、帳號、密碼甚至投訴的理由全都側錄出去。
謝維洲表示,iOS、Android雙手機系統的App,自105年11月1日陸續上線,截至106年6月28日止,就有8770次的下載,並有4663人完成立案;網頁版也有52575人完成投訴立案。謝維洲表示,若該程式遭攻擊,等於上萬名民眾的個資已經遭到側錄下載,大罵單一陳情系統變成「單一洩漏個資的系統」。
▼單一陳情系統APP。(圖/擷取畫面)
廠商違約 需賠償民眾權益損失
對此,資訊局系統發展組股長陳崴逸表示,本來提供給廠商的是中央政府的GCA憑證,但因為不明原因無法通過Google Play的認證,因此要求廠商透過修改程式架構的方式維持資安層級,APP也於去年11月上架;但沒想到,今年7月2日發現廠商沒有克服漏洞,因此另外提供商業憑證的方式解決。
陳崴逸表示,依照與廠商簽訂的「單一陳情系統建置案契約書」規範,如果造成損失的話可以對廠商究責,「只要民眾通報,廠商一定要負責。」
對於資安洩漏的疑慮,陳崴逸表示,「單一陳情系統」的APP只會要求使用者輸入姓名、手機、信箱等基本的聯絡方式,並沒有涉及身分證字號或是信用卡號等;此外,目前已知的APP漏洞,若要攻擊的話需要耗費相當高的成本與技術,相對於資料的重要性,目前尚沒有傳出民眾受害的消息。
資訊局:市府APP下半年逐一更新
關於中央提供的GCA憑證無法通過Google Play認證,資訊局主秘陳慧敏表示,去年就有與中央討論資安檢測該怎麼進行,市府在今年下半年也要求所有新的app,如果要key身分資料都要進行加密,「市府的26個APP,下半年就有針對要進行加密的逐一更新,如果發現是有問題的會立即更正改進」;此外,必要時也會究責廠商、要求賠償。
讀者迴響