圖片來源: 

Hello Taipei

台北市單一陳情系統Hello Taipei周一遭市議員陳孋輝指出有漏洞,只要在待確認案件中利用重寄確認信,並修改程式碼,就能看到陳情民眾的個資、陳情內容,質疑該陳情系統成立以來,累積38多萬筆陳情民眾個資全都露。台北市政府資訊局回應收到漏洞資訊後已於當天修補,為強化資安防護已規劃委託資安團隊擴大滲透測試。

Hello Taipei為北市資訊局委託叡揚資訊建置並負責維護管理,作為民眾陳情的單一系統,該系統從105年上線至今累積陳情案件已達38.6萬件,為台北市重要的陳情系統。

市議員陳孋輝周一指出Hello Taipei有重大漏洞,只要進入陳情系統的待確認案件頁面後,再按右鍵檢視網頁程式碼並稍作調整,之後回到陳情系統的確認案件頁面按下重寄確認信,並輸入非原本來信的電子信箱,再進入信箱點選來信確認回到陳情系統,就能看到完整的民眾陳情內容,包括陳情者的姓名、電話等聯絡方式、陳情主題及詳細內容。市議員的研究團隊並公佈示範影片。

議員批評北市府連同建置及維護合約,花費1900萬元委託廠商維運Hello Taipei竟存在漏洞,導致38.6萬陳情民眾個資可能外洩,該漏洞早在去年12月向資訊局提醒,當時資訊局回覆全面檢查改善,但至今卻沒有改善。依市府與委託廠商間的合約,廠商負有程式碼測試、弱點修正的責任,若違反個資法可依約收取違約金或解除合約。市府也可能面臨個資法合計最高求償2億元,恐讓全民買單。

陳孋輝要求市府應立即修補漏洞,否則關閉系統以避免外洩民眾個資,並向廠商收取違約金解除合約,同時也要檢視所有網站是否有類似的資安問題。市長應出面道歉,懲處相關人員。

對此,台北市府資訊局在周三針對議員的批評發出回應,指該事件是以非正常操作行為繞過驗證以取得民眾陳情內容,需要一筆一筆逐一操作才能取得陳情內容,經過調查有38筆資料受到影響,市府將通知受影響民眾提高警覺,周一當天已請廠商修補漏洞,並按程序進入入侵事件通報,保留日誌以備日後法律程序調閱。

對於議員指去年12月已向北市資訊局提報漏洞,資訊局澄清議員去年提報的是另一個漏洞,已在去年修補完畢,此次陳情系統的重寄確認信機制為新漏洞,周一已修補。至於是否向廠商要求違約金一事尚在研議中。

資訊局表示,沒有資訊系統可100%確認安全,市府各項系統均以弱點掃描並修補漏洞,這次新的漏洞為掃描工具無法檢測出來,今年將規劃導入紅隊演練、擴大滲透測試範圍,委託資安團隊對系統作深度檢測。呼籲民眾如發現系統漏洞可依正式管道向市府通報。


Advertisement

更多 iThome相關內容