看板 Gossiping作者 sixf0ld (coldrain)標題 [新聞] pay.taipei遭爆恐洩個資 北市坦言有疏?1時間 Tue Jun 27 21:54:06 2017
蘋果日報
※ 例如蘋果日報、奇摩新聞
2.完整新聞標題:
pay.taipei遭爆恐洩個資 北市坦言有疏失
※ 標題沒有寫出來 ---> 依照板規刪除文章
3.完整新聞內文:
台北市政府智慧支付平台pay.taipei本周日才風光上線,但卻有網友告誡民眾千萬不要用
此平台,因為個資都是明碼,會外洩。
市府資訊局今坦言,第一版智慧支付平台的超文字
傳輸協定是用沒加密的http,而非經過加密的https,所以帳號與密碼都採明碼傳輸,確
有外洩風險,亦即具備一定技術的人(如駭客)有辦法透過監控軟體去拆看資訊傳輸的封
包,進而洩露個資。資訊局統計,兩天以來pay.taipei下載量約1千人次。台北市智慧支
付平台(電腦版)剛已更新,將網址從http改為
https://pay.taipei/ 。APP將暫停服務
,會等2到3天再度上線提供服務。
台北市資訊局表示,設計此平台的廠商已坦言疏失,也緊急修正,今晚Android系統的智
慧支付平台已改為加密版本,而iOS系統要等蘋果公司核定,所以建議用iPhone的民眾先
不要下載。
http全名是「HyperText Transfer Protocol」,中文稱為「超文字傳輸協定」,是網際
網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML
頁面的方法。
有網友質疑,智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名
信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項,此案涉及6家銀行,當時
藍新科技回應,卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握,藍新的付
費平台也算是受害者。網友批評,藍新科技曾出包,為何北市府這次還跟他們簽約?
資訊局表示,此案採取最有利標方式讓廠商競爭,當時有兩家廠商參與投標,但其中一家
廠商因資格不符在評選前就被刷掉,藍新科技經過評選合格後,便與市府議價。資訊局強
調,目前首要的是先做緊急搶修,當初與藍新的合約有要求進行加密傳輸,待釐清相關責
任後會做處置。
資訊局晚間發布新聞稿說,下午2時發現APP存在資安風險,經查是APP背景資料未採用較
安全的方式傳輸,已於下午4時處理完畢,因系統上線仍有資料更新及修正所需時間,網
站今日完成更新重新上線,而APP暫停服務,會等2到3天再度上線提供服務。
資訊局表示,「智慧支付平台pay.taipei」係作為支付業者及各機關的服務中介,本身不
處理金流,使用者所輸入的資料僅用於身分確認,此平台亦不會儲存會員的個資,廠商的
設計未能依招標規範規定採用安全傳輸方式,而資訊局在系統上線時,也未能及早發現其
疏失,會深自檢討,除重新修訂、強化相關SOP外,並嚴格要求廠商全面檢視程式的安全
性,讓民眾使用得更安心。 智慧支付平台為全國首創服務,推動過程中發生的問題及困
難,將逐步改善。(張博亭/台北報導)
※ 社論特稿都不能貼! 違者退文,貼廣告也會被退文喔!
4.完整新聞連結 (或短網址):
http://m.appledaily.com.tw/realtimenews/article/new/20170627/1149199/
※ 當新聞連結過長時,需提供短網址方便網友點擊
5.備註:
用http,帳號密碼都純文字明碼傳輸,固定IP資料傳輸
扯到爆炸
隨便Sniff一下就可以攔截帳號密碼了
這種最最最基本的錯誤都可以犯
無言了
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.9.95
※ 文章代碼(AID): #1PKcE2Bq (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498571650.A.2F4.html
※ 同主題文章:
[新聞] pay.taipei遭爆恐洩個資 北市坦言有疏1
06-27 21:54 sixf0ld.
我不是柯黑,但這真的很誇張 交易相關的竟然用http明碼,是智障嗎?
→ fuhu66: 支父寶表示:3F 06/27 21:55
噓 abram: 一直OP 沒有其他新聞泥4F 06/27 21:55
哪裡op了?? 只有一篇ithome的,格式還不對
支付寶也沒在管隱私權的好嗎
推 rsstar: 還是支付寶方便 明碼暗碼都沒差7F 06/27 22:04
※ 編輯: sixf0ld (61.230.9.95), 06/27/2017 22:05:46
推 Xenogamer: 滿扯的 這種委外都要驗收吧 都沒發現就上線了?8F 06/27 22:08
→ Wilkie: 八對關柯p 的事 又是內鬼在亂搞
不關9F 06/27 22:11
推 purplvampire: 出包是柯文哲跟資訊局要負責,是他們要負責管控品質自己沒做好PoC就推出來,被洗臉活該11F 06/27 22:15
→ kenro: 有爽就好,可以下去領錢了13F 06/27 22:20
推 Dinki: 這種包換作是在金融業絕對是重大缺失 14F 06/27 22:21
推 chicham: 最基本的電子商務資料傳遞原則都不懂,還搞智慧支付15F 06/27 22:22
推 pttyu: 柯就大好喜功 講得多驚天動地不能被拖垮 結果亂驗收一通16F 06/27 22:32
推 doom3: 政府的錢很好賺的 案子先標下來再說 要改請加錢18F 06/27 22:47
→ vn509942: 我也不是柯黑 但這種錯根本不該犯19F 06/27 22:48
→ vitalis: 太誇張,稍有資訊常識的都知道有問題,這包商那裡找來的?21F 06/27 23:56
噓 maxn86: 該不會又是最低價的爛標標出去吧22F 06/28 00:32
→ ECZEMA: 應該很好駭吧! 這麼低能的錯誤顯見無資安概念23F 06/28 00:38
→ triplee: 藍新科技不算是來路不明的包商 算是台灣搞金流起家的代表之一 這次會出這種包是挺匪夷所思
另外你這篇紅字的部分是卡號被盜後 盜領者用藍新串的金流服務刷卡 而不是藍新自己的系統被駭
基本上藍新的業務很廣 也有提供不少中小企業的金流串接24F 06/28 00:57
※ 編輯: sixf0ld (61.230.9.95), 06/28/2017 01:09:18
※ 編輯: sixf0ld (61.230.9.95), 06/28/2017 09:14:40
--