[新聞] pay.taipei遭爆恐洩個資　北市坦言有疏?1消失

看板Gossiping作者sixf0ld時間7年前 (2017/06/27 21:54)推噓10(13推 3噓 15→)

留言31則, 23人參與討論串1/1

蘋果日報 ※ 例如蘋果日報、奇摩新聞 2.完整新聞標題: pay.taipei遭爆恐洩個資　北市坦言有疏失 ※ 標題沒有寫出來 ---> 依照板規刪除文章 3.完整新聞內文: 台北市政府智慧支付平台pay.taipei本周日才風光上線，但卻有網友告誡民眾千萬不要用此平台，因為個資都是明碼，會外洩。市府資訊局今坦言，第一版智慧支付平台的超文字傳輸協定是用沒加密的http，而非經過加密的https，所以帳號與密碼都採明碼傳輸，確有外洩風險，亦即具備一定技術的人（如駭客）有辦法透過監控軟體去拆看資訊傳輸的封包，進而洩露個資。資訊局統計，兩天以來pay.taipei下載量約1千人次。台北市智慧支付平台（電腦版）剛已更新，將網址從http改為https://pay.taipei/ 。APP將暫停服務，會等2到3天再度上線提供服務。台北市資訊局表示，設計此平台的廠商已坦言疏失，也緊急修正，今晚Android系統的智慧支付平台已改為加密版本，而iOS系統要等蘋果公司核定，所以建議用iPhone的民眾先不要下載。 http全名是「HyperText Transfer Protocol」，中文稱為「超文字傳輸協定」，是網際網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML 頁面的方法。有網友質疑，智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名信用卡和轉帳卡客戶，在不知情的狀況下被藍新科技收取款項，此案涉及6家銀行，當時藍新科技回應，卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握，藍新的付費平台也算是受害者。網友批評，藍新科技曾出包，為何北市府這次還跟他們簽約？資訊局表示，此案採取最有利標方式讓廠商競爭，當時有兩家廠商參與投標，但其中一家廠商因資格不符在評選前就被刷掉，藍新科技經過評選合格後，便與市府議價。資訊局強調，目前首要的是先做緊急搶修，當初與藍新的合約有要求進行加密傳輸，待釐清相關責任後會做處置。資訊局晚間發布新聞稿說，下午2時發現APP存在資安風險，經查是APP背景資料未採用較安全的方式傳輸，已於下午4時處理完畢，因系統上線仍有資料更新及修正所需時間，網站今日完成更新重新上線，而APP暫停服務，會等2到3天再度上線提供服務。資訊局表示，「智慧支付平台pay.taipei」係作為支付業者及各機關的服務中介，本身不處理金流，使用者所輸入的資料僅用於身分確認，此平台亦不會儲存會員的個資，廠商的設計未能依招標規範規定採用安全傳輸方式，而資訊局在系統上線時，也未能及早發現其疏失，會深自檢討，除重新修訂、強化相關SOP外，並嚴格要求廠商全面檢視程式的安全性，讓民眾使用得更安心。智慧支付平台為全國首創服務，推動過程中發生的問題及困難，將逐步改善。（張博亭／台北報導） ※ 社論特稿都不能貼! 違者退文，貼廣告也會被退文喔! 4.完整新聞連結 (或短網址): http://m.appledaily.com.tw/realtimenews/article/new/20170627/1149199/ ※ 當新聞連結過長時，需提供短網址方便網友點擊 5.備註: 用http，帳號密碼都純文字明碼傳輸，固定IP資料傳輸扯到爆炸隨便Sniff一下就可以攔截帳號密碼了這種最最最基本的錯誤都可以犯無言了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.9.95 ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498571650.A.2F4.html

推

MotleyCrue

06/27 21:54, , 1^F

06/27 21:54, 1^F

→

FlynnZhang

06/27 21:54, , 2^F

06/27 21:54, 2^F

我不是柯黑，但這真的很誇張交易相關的竟然用http明碼,是智障嗎?

→

fuhu66

06/27 21:55, , 3^F