悠遊卡公司所推出的app「Easy Wallet」遭到惡意攻擊,駭客企圖存取悠遊卡交易資料,目前悠遊卡公司已暫停交易紀錄、餘額查詢功能,預計6月重新開放查詢功能。

Easy Wallet是悠遊卡公司去年推出的app,可讓悠遊卡用戶輸入最多5張悠遊卡號碼,查詢悠遊卡交易紀錄、卡片餘額,線上申請悠遊卡記名,以及查詢電子發票交易紀錄與明細、電子發票自動對獎及最新悠遊卡優惠訊息。app支援Android與iOS,下載次數超過40萬次。

不過,Easy Wallet用戶最近發現,登入卡片號碼後無法查詢交易紀錄及餘額,查詢功能一直顯示稍後再試,不少用戶在Google Play評論上抱怨,悠遊卡公司5月11日則公告是系統維護的原因。稍後進一步說明是遭到惡意攻擊,決定暫停Easy Wallet上的查詢功能,待加強app安全機制後,6月將重新開放查詢。

悠遊卡公司表示,app的卡號登入原先設計為同時間允許4000筆卡號登入,但2、3天前大量湧入9到10萬次卡號登入,已超出系統負荷,因此暫時關閉查詢功能。大量的卡號登入並非真正的卡號登入,其中包含錯誤的卡號,顯示攻擊者可能以測試方式登入系統。

為確保卡片內儲值金額安全,悠遊卡公司推廣悠遊卡記名,用戶可申請卡片記名,需提出身份證件,若卡片不慎遺失就能向悠遊卡公司申請停用,避免儲值金額被盜用。

悠遊卡公司強調,所有用戶資料並未存放在卡片及app,存放用戶資料的後台系統並未被攻擊,沒有資料被竊的問題,目前已和廠商研擬如何強化app的卡片登入安全驗證機制。至於暫停app查詢功能期間,用戶若想查詢交易紀錄、卡片餘額仍可透過便利商店、捷運站查詢。

不過,先前傳出這起事件可能並不單純,事實上是有人透過逆向工程找出API漏洞,迫使悠遊卡公司最後關閉API作為處理,對此說法,悠遊卡公司予以否認,仍認為遭到攻擊,目前希望能儘快重新恢復功能。

 


Advertisement

更多 iThome相關內容