※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2017-06-28 10:04:03
看板 Gossiping
作者 標題 [新聞] pay.taipei遭爆恐洩個資 北市坦言有疏?1
時間 Tue Jun 27 21:54:06 2017
蘋果日報
※ 例如蘋果日報、奇摩新聞
2.完整新聞標題:
pay.taipei遭爆恐洩個資 北市坦言有疏失
※ 標題沒有寫出來 ---> 依照板規刪除文章
3.完整新聞內文:
台北市政府智慧支付平台pay.taipei本周日才風光上線,但卻有網友告誡民眾千萬不要用
此平台,因為個資都是明碼,會外洩。市府資訊局今坦言,第一版智慧支付平台的超文字
傳輸協定是用沒加密的http,而非經過加密的https,所以帳號與密碼都採明碼傳輸,確
有外洩風險,亦即具備一定技術的人(如駭客)有辦法透過監控軟體去拆看資訊傳輸的封
包,進而洩露個資。資訊局統計,兩天以來pay.taipei下載量約1千人次。台北市智慧支
付平台(電腦版)剛已更新,將網址從http改為https://pay.taipei/ 。APP將暫停服務
,會等2到3天再度上線提供服務。
台北市資訊局表示,設計此平台的廠商已坦言疏失,也緊急修正,今晚Android系統的智
慧支付平台已改為加密版本,而iOS系統要等蘋果公司核定,所以建議用iPhone的民眾先
不要下載。
慧支付平台已改為加密版本,而iOS系統要等蘋果公司核定,所以建議用iPhone的民眾先
不要下載。
http全名是「HyperText Transfer Protocol」,中文稱為「超文字傳輸協定」,是網際
網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML
頁面的方法。
網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML
頁面的方法。
有網友質疑,智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名
信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項,此案涉及6家銀行,當時
藍新科技回應,卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握,藍新的付
費平台也算是受害者。網友批評,藍新科技曾出包,為何北市府這次還跟他們簽約?
信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項,此案涉及6家銀行,當時
藍新科技回應,卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握,藍新的付
費平台也算是受害者。網友批評,藍新科技曾出包,為何北市府這次還跟他們簽約?
資訊局表示,此案採取最有利標方式讓廠商競爭,當時有兩家廠商參與投標,但其中一家
廠商因資格不符在評選前就被刷掉,藍新科技經過評選合格後,便與市府議價。資訊局強
調,目前首要的是先做緊急搶修,當初與藍新的合約有要求進行加密傳輸,待釐清相關責
任後會做處置。
廠商因資格不符在評選前就被刷掉,藍新科技經過評選合格後,便與市府議價。資訊局強
調,目前首要的是先做緊急搶修,當初與藍新的合約有要求進行加密傳輸,待釐清相關責
任後會做處置。
資訊局晚間發布新聞稿說,下午2時發現APP存在資安風險,經查是APP背景資料未採用較
安全的方式傳輸,已於下午4時處理完畢,因系統上線仍有資料更新及修正所需時間,網
站今日完成更新重新上線,而APP暫停服務,會等2到3天再度上線提供服務。
安全的方式傳輸,已於下午4時處理完畢,因系統上線仍有資料更新及修正所需時間,網
站今日完成更新重新上線,而APP暫停服務,會等2到3天再度上線提供服務。
資訊局表示,「智慧支付平台pay.taipei」係作為支付業者及各機關的服務中介,本身不
處理金流,使用者所輸入的資料僅用於身分確認,此平台亦不會儲存會員的個資,廠商的
設計未能依招標規範規定採用安全傳輸方式,而資訊局在系統上線時,也未能及早發現其
疏失,會深自檢討,除重新修訂、強化相關SOP外,並嚴格要求廠商全面檢視程式的安全
性,讓民眾使用得更安心。 智慧支付平台為全國首創服務,推動過程中發生的問題及困
難,將逐步改善。(張博亭/台北報導)
處理金流,使用者所輸入的資料僅用於身分確認,此平台亦不會儲存會員的個資,廠商的
設計未能依招標規範規定採用安全傳輸方式,而資訊局在系統上線時,也未能及早發現其
疏失,會深自檢討,除重新修訂、強化相關SOP外,並嚴格要求廠商全面檢視程式的安全
性,讓民眾使用得更安心。 智慧支付平台為全國首創服務,推動過程中發生的問題及困
難,將逐步改善。(張博亭/台北報導)
※ 社論特稿都不能貼! 違者退文,貼廣告也會被退文喔!
4.完整新聞連結 (或短網址):
http://m.appledaily.com.tw/realtimenews/article/new/20170627/1149199/
pay.taipei遭爆恐洩個資 北市坦言有疏失│即時新聞│20170627│蘋果日報
![[圖]]()
蘋果日報網站提供即時、快速、豐富的最新時事動態,包含國際、社會、娛樂、政治、生活、財經等最新訊息,並為您搜奇地球村萬象與趣聞,強調有圖有真相、影片最明白,讓您時時刻刻掌握天下事! ...
![[圖]](http://twimg.edgesuite.net/images/ReNews/20170627/392x220_5443591ebd8992175ea00ca0db197868.jpg)
5.備註:
用http,帳號密碼都純文字明碼傳輸,固定IP資料傳輸
扯到爆炸
隨便Sniff一下就可以攔截帳號密碼了
這種最最最基本的錯誤都可以犯
無言了
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.9.95
※ 文章代碼(AID): #1PKcE2Bq (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498571650.A.2F4.html
※ 同主題文章:
● 06-27 21:54 ■ [新聞] pay.taipei遭爆恐洩個資 北市坦言有疏1
06-27 22:07 ■ Re: [新聞] pay.taipei遭爆恐洩個資 北市坦言有疏1
推 : 好險我都用支付寶1F 06/27 21:54
→ : 柯黑高潮2F 06/27 21:54
我不是柯黑,但這真的很誇張 交易相關的竟然用http明碼,是智障嗎?→ : 支父寶表示:3F 06/27 21:55
噓 : 一直OP 沒有其他新聞泥4F 06/27 21:55
哪裡op了?? 只有一篇ithome的,格式還不對推 : 知道支付寶多進步了吧5F 06/27 21:55
支付寶也沒在管隱私權的好嗎推 : 台北市有臺北市的玩法6F 06/27 21:58
推 : 還是支付寶方便 明碼暗碼都沒差7F 06/27 22:04
※ 編輯: sixf0ld (61.230.9.95), 06/27/2017 22:05:46推 : 滿扯的 這種委外都要驗收吧 都沒發現就上線了?8F 06/27 22:08
→ : 八對關柯p 的事 又是內鬼在亂搞9F 06/27 22:11
→ : 不關
→ : 不關
推 : 出包是柯文哲跟資訊局要負責,是他們要負責管控品質11F 06/27 22:15
→ : 自己沒做好PoC就推出來,被洗臉活該
→ : 自己沒做好PoC就推出來,被洗臉活該
→ : 有爽就好,可以下去領錢了13F 06/27 22:20
推 : 這種包換作是在金融業絕對是重大缺失 14F 06/27 22:21
推 : 最基本的電子商務資料傳遞原則都不懂,還搞智慧支付15F 06/27 22:22
推 : 柯就大好喜功 講得多驚天動地不能被拖垮 結果亂驗收一通16F 06/27 22:32
噓 : ....這種疏失很悲哀17F 06/27 22:47
推 : 政府的錢很好賺的 案子先標下來再說 要改請加錢18F 06/27 22:47
→ : 我也不是柯黑 但這種錯根本不該犯19F 06/27 22:48
推 : 我不懂 政府推這個幹嘛20F 06/27 22:51
→ : 太誇張,稍有資訊常識的都知道有問題,這包商那裡找來的?21F 06/27 23:56
噓 : 該不會又是最低價的爛標標出去吧22F 06/28 00:32
→ : 應該很好駭吧! 這麼低能的錯誤顯見無資安概念23F 06/28 00:38
→ : 藍新科技不算是來路不明的包商 算是台灣搞金流起家的代表24F 06/28 00:57
→ : 之一 這次會出這種包是挺匪夷所思
→ : 另外你這篇紅字的部分是卡號被盜後 盜領者用藍新串的金流
→ : 服務刷卡 而不是藍新自己的系統被駭
→ : 基本上藍新的業務很廣 也有提供不少中小企業的金流串接
※ 編輯: sixf0ld (61.230.9.95), 06/28/2017 01:09:18→ : 之一 這次會出這種包是挺匪夷所思
→ : 另外你這篇紅字的部分是卡號被盜後 盜領者用藍新串的金流
→ : 服務刷卡 而不是藍新自己的系統被駭
→ : 基本上藍新的業務很廣 也有提供不少中小企業的金流串接
→ startiger …
--
回列表(←)
分享