23:00更新:台北市政府資訊局晚間9點多正式對外說明,表示已於下午4點緊急應變,但得等到資料更新和系統修正,網站將於明天6月28日重新上線,而App則還需2~3天才會升級,目前先暫停服務。

臺北市政府之前率先全臺推出「臺北市政府智慧支付平臺pay.taipei」,但在6月27日大約中午時分,便在開發社群瘋傳一張pay.taipei出現資安漏洞的網路截圖,揭露這個已經上架的Android App在連回後端伺服器時,採用HTTP的明碼傳輸方式,這也使得使用者的帳號密碼,都有被公開攔截的風險。

臺北市政府資訊局應用服務組組長林郁傑表示,市府大約在下午二點左右,同仁發現這樣的訊息並立即和廠商聯繫做修正,第一時間下架Google play的pay.taipei的App,預計在今晚七點左右重新上架新版的App,另外在伺服器端,則會拒絕沒有使用HTTPS的網路連線,以確保使用者帳號密碼的安全性。

人在以色列參訪的臺北市資訊局局長李維斌也第一時間獲知這個消息,他接受記者訪問時則表示,這樣的錯誤並不應該發生,資訊局同仁已經在第一時間進行善後與修補動作,他也強調,目前這個pay.taipei智慧平臺並不存放任何使用者的帳號密碼等個人資訊,在改善相關的資安疏失後,也會要求同仁詳查原因,以避免類似的問題再度發生。

pay.taipei系統承包業者藍新科技坦言疏失,更版後將進行App資安檢測

至於pay.taipei承包業者藍新科技總經理詹聖生表示,這個智慧平臺在去年底已經大致完成,但因為需要等其他行動支付業者完成相關的系統介接,所以中間有將近半年的時間處於被動等待的狀態,目前整個系統還沒有完成最後驗收程序。而藍新科技在6月27日在接到有這樣的資安漏洞通報後,也第一時間配合臺北市政府資訊局的作為,下架舊版App並立即更新相關新版App,以確保使用者的安全性。

藍新科技副總經理徐之偉坦言,發生疏失的主因是,測試時沒有使用敏感資訊測試所以先採用HTTP傳輸,但轉換到正式上線環境時,忽略了將傳輸模式從原本的HTTP改成HTTPS。他也說,新版App上架後,該公司也會在系統驗收之前,重新再進行一次系統的源碼檢測,也會在App上架前,進行App資安檢測。

北市府下架舊版安卓App,一天內完成新版更新上架

臺北市政府在6月25日對外正式宣佈結合包括五大電信業者的手機門號實名認證機制,以及加上PI錢包、台新銀行、玉山銀行、ezPay臺灣支付、歐付寶、橘子支付和街口支付等八家行動支付業者,都可以透過臺北市政府推出的這個整合性的智慧支付平臺,支付包括臺北市的水費、停車費,甚至是臺北市例聯合醫院的看診費用。

因為看好這樣行動支付將蔚為潮流,臺北市長柯文哲也率先針對臺北市民在公共服務費用的支付上,提供更多元的支付型態。但也因為涉及金錢的支付,民眾對於相關資安的要求也將以對待金融業者的方式作為檢視的基準。

目前臺北市資訊局先將出包的Android App下架後,也和承包業者藍新科技合作,第一時間進行App的版本更新,目前正在等候Google paly的審查,原資訊局希望最快在今晚將新版App重新上架、不過,晚上九點多,資訊局發布新聞稿表示,還需2~3天才能升級App,升級前將先暫停服務。;至於蘋果手機AppStore的App,還在等候審查中還沒有上架。

至於目前到底有多少人已經下載舊版的pay.taipei的Android App,林郁傑表示,資訊局目前以善後為第一優先,相關的資訊將會在檢討會中進行統計,資訊局也會透過新聞稿的方式,告知民眾pay.taipei的資安漏洞資訊以及後續的善後程序。

 


Advertisement

更多 iThome相關內容