圖片來源: 

翻攝自謝維洲臉書

台北市議員謝維洲今召開記者會,指台北市政府在去年推出「北市單一陳情系統HELLO TAIPEI」app,因前端使用者資料傳輸未加密,可能導致陳情民眾資料外洩疑慮。台北市資訊局表示,僅發現Android版app有安全疑慮,已要求廠商改善並已重新上架。

謝維洲與資安團隊合作,檢視台北市政府在去年11月推出的「北市單一陳情系統HELLO TAIPEI」 app,發現不論是Android或iOS版本,前端的使用者資料傳輸沒有妥善的加密保護,透過中間人攻擊(Man-in-the-Middle Attack)就能取得陳情民眾個資,包括姓名、帳號密碼、身份證字號。

謝維洲指若從陳情系統上線至今,綜合app及網頁版本的民眾陳情投訴立案數量來看,可能高達6萬筆資料外洩,批評北市的單一陳情系統是單一出賣系統。另外,也質疑北市26個app可能也有類似的疑慮,要求下架檢測。

台北市資訊局今天緊急回應,坦承Android版app確實有資安風險,合作的資訊業者去年開發Android版app,起先是以GCA政府憑證加密使用者的資料,但因為不明的原因不相容於Google Play,為讓app得以上架,資訊廠商承諾以其他方式加密保護,去年11月已在Google Play上架。至於網頁版、iOS版app則使用GCA憑證加密。

北市資訊局系統發展組決策支援股長陳崴逸坦承市府礙於經費有限,沒有在每次app改版後進行原碼檢測,因此去年11月上架後沒有對app作檢測,直到今年7初資訊局為加強旗下服務的資訊安全,檢視後發現從app到系統主機間的使用者資料傳輸保護安全性不足,較憑證加密保護弱,有心人士可能截取使用者資料,已要求廠商改用其他的商業憑證,7月10日通過Google Play審核重新上架。

對於議員指稱可能高達6萬多筆資料外洩,陳崴逸表示,目前有安全疑慮的是Android版app,網頁版及iOS版本沒有此疑慮,Android版從去年11月上線至6月底為止,下載次數約3700次,但並有發現資料外洩的情形。另外,民眾透過app陳情必需先具有網路市民身份,通過身份驗證登入系統,因此陳情系統僅儲存基本資訊,包括帳號密碼、姓名、電子郵件,如需要進一步聯繫,才會請民眾提供手機。至於身份證字號則是儲存於網路市民系統,陳情系統並不會儲存。

資訊局也對軟體開發使用不夠完善的保護措施,導致可能有資料外洩風險感到抱歉,強調未來會加強軟體的安全檢測,讓民眾可以安心使用。

在稍早之前,今年6月上線的北市智慧支付平台pay.taipei,整合8種支付工具,民眾透過該平台可支付各種費用,如水費、停車費、看診費等等,配合該平台推出的app也被發現未加密回傳的使用者資料,恐曝露資料外洩風險,北市符也偕同廠商改善app。


Advertisement

更多 iThome相關內容