驚傳北市APP沒加密 個資外洩疑慮

台北市議員謝維洲質疑，台北市「Hello Taipei 單一陳情系統」有資安漏洞，將洩漏市民個資。（圖／呂晏慈攝 , 2017.07.13）

台北市政府去年花 1025 萬建置「Hello Taipei 單一陳情系統」，市議員謝維洲今（13）日踢爆，系統附加的網頁及 APP 未加密，恐有個資外洩疑慮，實際找資安團隊測試後，發現民眾輸入的資料、投訴內容悉遭側錄，謝維洲痛批，這根本是個「單一出賣個資系統」。

謝維洲指出，台北市長柯文哲上任後，動用 1025 萬推出單一陳情系統，除了網頁版本外，還有 Android 及 ios 兩版本 APP 供民眾使用，不過，因手機程式系統未加密，有資料外洩疑慮，而實際找資安團隊測試後，發現只要使用中間人攻擊（MITM），就能將民眾輸入的資料，包含電話、姓名、陳情內容，通通側錄出去。

謝維洲質疑，市府建置單一陳情系統，根本淪為「單一出賣個資系統」，也違反與廠商睿揚資訊簽訂的契約中，第 19 條「資訊安全責任」規範，要求立即下架未加密的 APP。

台北市資訊局系統發展組股長陳崴逸說明，目前所知有資安外洩疑慮的，應為 Android 版本的 APP，由於前端沒有安全加密的傳輸方式，使資料在傳輸到後端的過程中，出現資安風險，有心人士可能在特定的環境及技術下，擷取使用者資料，估計影響約 3700 名使用者，而網頁版本及 ios 手機程式並無此風險。

陳崴逸說明，單一陳情系統 Android 版 APP 在去年 11 月上架前，原本有使用 GCA 政府憑證，但因無法通過 Google Play 審查，廠商才更改系統框架，導致出現資安風險。他補充，自 7 月 2 日發現程式漏洞後，廠商已將 GCA 政府憑證更改為商業憑證，並於 7 月 10 日完成程式修改。

台北市資訊局主秘陳慧敏解釋，APP 上架至今，未曾接獲民眾通報，或出現使用者行為被駭之事，未來將配合中央，研擬 APP 上架的檢測 SOP，加入資安檢測的規範。

『新聞來源／NOWnews http://www.nownews.com/』