驚傳北市APP沒加密 個資外洩疑慮
鉅亨網新聞中心 2017-07-13 12:00
台北市議員謝維洲質疑,台北市「Hello Taipei 單一陳情系統」有資安漏洞,將洩漏市民個資。(圖/呂晏慈攝 , 2017.07.13)
台北市政府去年花 1025 萬建置「Hello Taipei 單一陳情系統」,市議員謝維洲今(13)日踢爆,系統附加的網頁及 APP 未加密,恐有個資外洩疑慮,實際找資安團隊測試後,發現民眾輸入的資料、投訴內容悉遭側錄,謝維洲痛批,這根本是個「單一出賣個資系統」。
謝維洲指出,台北市長柯文哲上任後,動用 1025 萬推出單一陳情系統,除了網頁版本外,還有 Android 及 ios 兩版本 APP 供民眾使用,不過,因手機程式系統未加密,有資料外洩疑慮,而實際找資安團隊測試後,發現只要使用中間人攻擊(MITM),就能將民眾輸入的資料,包含電話、姓名、陳情內容,通通側錄出去。
謝維洲質疑,市府建置單一陳情系統,根本淪為「單一出賣個資系統」,也違反與廠商睿揚資訊簽訂的契約中,第 19 條「資訊安全責任」規範,要求立即下架未加密的 APP。
台北市資訊局系統發展組股長陳崴逸說明,目前所知有資安外洩疑慮的,應為 Android 版本的 APP,由於前端沒有安全加密的傳輸方式,使資料在傳輸到後端的過程中,出現資安風險,有心人士可能在特定的環境及技術下,擷取使用者資料,估計影響約 3700 名使用者,而網頁版本及 ios 手機程式並無此風險。
陳崴逸說明,單一陳情系統 Android 版 APP 在去年 11 月上架前,原本有使用 GCA 政府憑證,但因無法通過 Google Play 審查,廠商才更改系統框架,導致出現資安風險。他補充,自 7 月 2 日發現程式漏洞後,廠商已將 GCA 政府憑證更改為商業憑證,並於 7 月 10 日完成程式修改。
台北市資訊局主秘陳慧敏解釋,APP 上架至今,未曾接獲民眾通報,或出現使用者行為被駭之事,未來將配合中央,研擬 APP 上架的檢測 SOP,加入資安檢測的規範。
『新聞來源/NOWnews http://www.nownews.com/』
- 掌握全球財經資訊點我下載APP
上一篇
下一篇