---

http://www.ithome.com.tw/news/115159

依據承包廠商藍新科技總經理詹聖生所言

目前整個系統還沒有完成最後驗收程序

所以這是一種市民公測?

OB 會員可以享有個資開放透明這種福利對吧


※ 引述《sixf0ld (coldrain)》之銘言：
: 蘋果日報
: ※ 例如蘋果日報、奇摩新聞
: 2.完整新聞標題:
: pay.taipei遭爆恐洩個資　北市坦言有疏失
: ※ 標題沒有寫出來 ---> 依照板規刪除文章
: 3.完整新聞內文:
: 台北市政府智慧支付平台pay.taipei本周日才風光上線，但卻有網友告誡民眾千萬不要用
: 此平台，因為個資都是明碼，會外洩。市府資訊局今坦言，第一版智慧支付平台的超文字
: 傳輸協定是用沒加密的http，而非經過加密的https，所以帳號與密碼都採明碼傳輸，確
: 有外洩風險，亦即具備一定技術的人（如駭客）有辦法透過監控軟體去拆看資訊傳輸的封
: 包，進而洩露個資。資訊局統計，兩天以來pay.taipei下載量約1千人次。台北市智慧支
: 付平台（電腦版）剛已更新，將網址從http改為https://pay.taipei/ 。APP將暫停服務
: ，會等2到3天再度上線提供服務。
: 台北市資訊局表示，設計此平台的廠商已坦言疏失，也緊急修正，今晚Android系統的智
: 慧支付平台已改為加密版本，而iOS系統要等蘋果公司核定，所以建議用iPhone的民眾先
: 不要下載。
: http全名是「HyperText Transfer Protocol」，中文稱為「超文字傳輸協定」，是網際
: 網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML
: 頁面的方法。
: 有網友質疑，智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名
: 信用卡和轉帳卡客戶，在不知情的狀況下被藍新科技收取款項，此案涉及6家銀行，當時
: 藍新科技回應，卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握，藍新的付
: 費平台也算是受害者。網友批評，藍新科技曾出包，為何北市府這次還跟他們簽約？
: 資訊局表示，此案採取最有利標方式讓廠商競爭，當時有兩家廠商參與投標，但其中一家
: 廠商因資格不符在評選前就被刷掉，藍新科技經過評選合格後，便與市府議價。資訊局強
: 調，目前首要的是先做緊急搶修，當初與藍新的合約有要求進行加密傳輸，待釐清相關責
: 任後會做處置。
: 資訊局晚間發布新聞稿說，下午2時發現APP存在資安風險，經查是APP背景資料未採用較
: 安全的方式傳輸，已於下午4時處理完畢，因系統上線仍有資料更新及修正所需時間，網
: 站今日完成更新重新上線，而APP暫停服務，會等2到3天再度上線提供服務。
: 資訊局表示，「智慧支付平台pay.taipei」係作為支付業者及各機關的服務中介，本身不
: 處理金流，使用者所輸入的資料僅用於身分確認，此平台亦不會儲存會員的個資，廠商的
: 設計未能依招標規範規定採用安全傳輸方式，而資訊局在系統上線時，也未能及早發現其
: 疏失，會深自檢討，除重新修訂、強化相關SOP外，並嚴格要求廠商全面檢視程式的安全
: 性，讓民眾使用得更安心。 智慧支付平台為全國首創服務，推動過程中發生的問題及困
: 難，將逐步改善。（張博亭／台北報導）
: ※ 社論特稿都不能貼! 違者退文，貼廣告也會被退文喔!
: 4.完整新聞連結 (或短網址):
: http://m.appledaily.com.tw/realtimenews/article/new/20170627/1149199/
: ※ 當新聞連結過長時，需提供短網址方便網友點擊
: 5.備註:
: 用http，帳號密碼都純文字明碼傳輸，固定IP資料傳輸
: 扯到爆炸
: 隨便Sniff一下就可以攔截帳號密碼了
: 這種最最最基本的錯誤都可以犯
: 無言了
: 而且又是外包給爛廠商

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.185.72
※ 文章代碼(AID): #1PKcQn4S (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498572465.A.11C.html