原标题:议员踢爆“北市单一陈情系统HELLO TAIPEI”app未加密恐外泄民众个资
图片来源:翻摄自谢维洲脸书
台北市议员谢维洲今召开记者会,指台北市政府在去年推出“北市单一陈情系统HELLO△TAIPEI”app,因前端使用者资料传输未加密,可能导致陈情民众资料外泄疑虑。台北市资讯局表示,仅发现Android版app有安全疑虑,已要求厂商改善并已重新上架。
谢维洲与资安团队合作,检视台北市政府在去年11月推出的“北市单一陈情系统HELLO△TAIPEI” app,发现不论是Android或iOS版本,前端的使用者资料传输没有妥善的加密保护,透过中间人攻击(Man-in-the-Middle△Attack)就能取得陈情民众个资,包括姓名、帐号密码、身份证字号。
谢维洲指若从陈情系统上线至今,综合app及网页版本的民众陈情投诉立案数量来看,可能高达6万笔资料外泄,批评北市的单一陈情系统是单一出卖系统。另外,也质疑北市26个app可能也有类似的疑虑,要求下架检测。
台北市资讯局今天紧急回应,坦承Android版app确实有资安风险,合作的资讯业者去年开发Android版app,起先是以GCA政府凭证加密使用者的资料,但因为不明的原因不相容于Google△Play,为让app得以上架,资讯厂商承诺以其他方式加密保护,去年11月已在Google△Play上架。至于网页版、iOS版app则使用GCA凭证加密。
北市资讯局系统发展组决策支援股长陈崴逸坦承市府碍于经费有限,没有在每次app改版后进行原码检测,因此去年11月上架后没有对app作检测,直到今年7初资讯局为加强旗下服务的资讯安全,检视后发现从app到系统主机间的使用者资料传输保护安全性不足,较凭证加密保护弱,有心人士可能截取使用者资料,已要求厂商改用其他的商业凭证,7月10日通过Google△Play审核重新上架。
对于议员指称可能高达6万多笔资料外泄,陈崴逸表示,目前有安全疑虑的是Android版app,网页版及iOS版本没有此疑虑,Android版从去年11月上线至6月底为止,下载次数约3700次,外泄的资料数量没有那么高。另外,民众透过app陈情必需先具有网络市民身份,通过身份验证登入系统,因此陈情系统仅储存基本资讯,包括帐号密码、姓名、电子邮件,如需要进一步联系,才会请民众提供手机。至于身份证字号则是储存于网络市民系统,陈情系统并不会储存。
资讯局也对软件开发使用不够完善的保护措施,导致可能有资料外泄风险感到抱歉,强调未来会加强软件的安全检测,让民众可以安心使用。
在稍早之前,今年6月上线的北市智慧支付平台pay.taipei,整合8种支付工具,民众透过该平台可支付各种费用,如水费、停车费、看诊费等等,配合该平台推出的app也被发现未加密回传的使用者资料,恐曝露资料外泄风险,北市符也偕同厂商改善app。
相关:
2016年5月11日,HyperloopOne在内华达州北拉斯维加斯进行露天试验据英国天空新闻台7月12日报道,洛杉矶超级高铁技术初创公司HyperloopOne近日宣布,该公司首次成功完成了70英里/小时(约合113公里/小时)的超高速运输
美国众议院民主党议员布拉德·谢尔曼当地时间12日,美国众议院民主党议员布拉德·谢尔曼正式提出一项针对美国总统特朗普的弹劾条款,指责特朗普在“通俄门”的调查中妨碍司法公正。据美国《国会山》日报12日报道,加
实时热点美国国防部导弹防御局11号宣布,美军当天使用“萨德”反导系统拦截中程弹道导弹的测试获得成功。导弹防御局局长萨姆·格里夫斯表示,当天的测试进一步展示了...【萨德系统成功拦截称14次全部成功】美国国防部导
曾杀死三人包括2名儿童的公安部B级在逃嫌犯姚常凤7月8日上午落网,7月12日,绍兴警方兑现20万悬赏,11名抓姚常凤的民众分20万奖金,见义勇为的行为值得表扬。最重要的是,逃犯姚常凤终于归案了,实在是大快人心!11名
(原标题:澳大利亚国防部文件披露澳驻阿富汗部队多次射击尸体和射杀儿童)人民网悉尼7月11日电继澳大利亚驻阿富汗部队非法杀戮事件被澳媒披露后,7月11日,更多澳大利亚国防部秘密文件被泄露,多起澳大利亚驻阿富汗