※ 本文轉寄自 ptt.cc 更新時間: 2017-06-27 22:52:14
看板 Gossiping
作者 標題 [新聞] 北市智慧支付App驚爆回傳資料未加密,密
時間 Tue Jun 27 18:54:25 2017
iThome
北市智慧支付App驚爆回傳資料未加密,密碼全曝光,台北資訊局搶修中
台北市政府兩天前(25日)剛推出的智慧支付平臺pay.taipei,讓民眾可以電腦或手機使
用該平臺,支付北市水費、停車費、聯合醫院看診等費用,不過,今天中午卻傳出App回
傳帳號密碼資料未加密的問題。
用該平臺,支付北市水費、停車費、聯合醫院看診等費用,不過,今天中午卻傳出App回
傳帳號密碼資料未加密的問題。
法國一家網域服務供應商Gandi.net亞太區總經理Thomas Kuiper在今天中午前後,上網踢
爆了這項消息,還公開了未加密的資料傳輸記錄截圖。這個App後端的資料傳輸,沒有使
用Https加密,都採用HTTP和明碼傳輸,帳號和密碼都可以被攔截而曝光。由於註冊帳號
可以使用手機、電子信箱和身分證字號,這些個人資料都可能遭攔截。Thomas Kuiper表
示,即使是一個700萬元的專案,資料保護不應只是選項,而是必須做的事情。
爆了這項消息,還公開了未加密的資料傳輸記錄截圖。這個App後端的資料傳輸,沒有使
用Https加密,都採用HTTP和明碼傳輸,帳號和密碼都可以被攔截而曝光。由於註冊帳號
可以使用手機、電子信箱和身分證字號,這些個人資料都可能遭攔截。Thomas Kuiper表
示,即使是一個700萬元的專案,資料保護不應只是選項,而是必須做的事情。
目前,臺北市資訊局下午2點也接獲通知,正在緊急搶修中,預計在7點前會重新上架修復
過的版本,並會出面搶修說明。
台北市剛推出智慧支付App回傳資料時沒有採用HTTPS加密,所以,登入帳號和密碼都可採
明碼傳輸,容易遭攔截,如下圖
http://i.imgur.com/BTMmcni.jpg
![[圖]](http://i.imgur.com/BTMmcni.jpg)
http://www.ithome.com.tw/news/115148
北市智慧支付App驚爆回傳資料未加密,密碼全曝光,台北資訊局搶修中 | iThome
![[圖]]()
台北市周末剛發布的智慧支付App後端資料傳輸出狀況,沒有使用Https加密,都採用HTTP和明碼傳輸,帳號和密碼都可以被攔截而曝光。 ...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/tai_bei_shi_zhi_hui_zhi_fu_2.jpg)
備註:自Chrome 62起,所有需填資料的HTTP網頁都會被標示為「不安全」
http://www.ithome.com.tw/news/113782
自Chrome 62起,所有需填資料的HTTP網頁都會被標示為「不安全」 | iThome
![[圖]]()
Google宣佈自10月推出的Chrome 62開始,只要HTTP網頁需填寫資料都會被顯示為「不安全」,在著重隱私的無痕模式下,HTTP網頁不論填或不填資料都會被標示為「不安全」。 ...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/chrome62.jpg)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.185.72
※ 文章代碼(AID): #1PKZbavV (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498560868.A.E5F.html
→ : 阿扁下台1F 06/27 18:54
→ : 叫大學生來寫的逆2F 06/27 18:55
推 : 哎~公務員,不意外。3F 06/27 18:56
推 : 這超級丟臉的....4F 06/27 18:56
→ : 郝龍斌一定會說幾句公道話5F 06/27 18:57
推 : 還是apple好6F 06/27 18:57
推 : 公開透明 推7F 06/27 18:57
→ : 搶修? 是功能異常還是本來就沒有8F 06/27 18:58
→ : 台北人繳費光明正大 不怕人看不行膩9F 06/27 18:59
→ : 又是北市府 第幾次了10F 06/27 18:59
推 : 柯粉又要無恥推:有錯就改了嗎11F 06/27 19:00
推 : 123412F 06/27 19:00
→ : 我只看到柯黑抓著柯粉在那高潮 很爽喔13F 06/27 19:00
「不能讓中央拖垮我們」柯文哲推動pay .taipei 北市搶先啟用智慧支付
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:02:13
推 : 柯市府自己拖垮自己14F 06/27 19:03
→ : 無料危險公測 柯粉辛苦了
→ : 無料危險公測 柯粉辛苦了
推 : 干柯p啥事?市長哪管這麼細,搞不好承辦員還是郝市府就進16F 06/27 19:03
→ : 來了
→ : 來了
推 : 這柯當然要負責阿 有啥好推18F 06/27 19:04
程式碼與系統分析又不是柯P寫的怎麼會是他要負責
推 : 出事情柯屁沒事,宣傳全部都是柯屁有功。柯粉!19F 06/27 19:05
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:06:34→ : 公開透明無誤XD20F 06/27 19:05
推 : 招商的招到一家爛廠商21F 06/27 19:07
→ : 台北市資訊局八成有問題…
→ : 台北市資訊局八成有問題…
推 : 柯p出包 柯粉護航23F 06/27 19:08
智慧城市你敢嘴?
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:09:31
推 : RFP開不清楚,加上價格標,不意外。24F 06/27 19:09
不是價格標,還是限制性招標
http://i.imgur.com/aCATnhm.jpg
![[圖]](http://i.imgur.com/aCATnhm.jpg)
![[圖]](http://i.imgur.com/Q5hdt1F.jpg)
![[圖]](http://i.imgur.com/PgKYbe9.jpg)
推 : 哈哈 明碼 哪家廠商犯這種低階錯誤啊25F 06/27 19:09
推 : 公開透明 柯文哲。26F 06/27 19:10
推 : 有人要飛高高了27F 06/27 19:10
→ : 前天柯粉狂推爆paytaipei風光發表;今日paytaipei出包28F 06/27 19:11
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:13:26→ : 廠商名字怎麼還沒出來啊29F 06/27 19:12
推 : 柯神不會有錯30F 06/27 19:12
推 : 連顆蛋都搞不定了31F 06/27 19:13
噓 : 剛升官,沒空32F 06/27 19:13
推 : 柯粉不聞不問。柯粉這麼多外縣市來的ㄛ33F 06/27 19:14
→ fedona …
→ : 那篇新聞出來時多少柯粉高潮XD35F 06/27 19:18
推 : XDDDDD 柯粉語無倫次XDDDD36F 06/27 19:21
→ CenaC …
→ : 柯粉快點出來護航這個阿伯啦38F 06/27 19:22
→ : 台灣低能pay 一個都不敢用39F 06/27 19:23
推 : 公開透明,不會隨便亂算你錢XDDD40F 06/27 19:23
推 : 不錯 夠透明41F 06/27 19:24
→ CenaC …
→ : 有改有推43F 06/27 19:26
表定時間都過了快30分 pay.taipei 還是不能用
推 : 改https要再加收200萬唷 <344F 06/27 19:28
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:29:43推 : 修好比較重要吧,你有差那幾分鐘嗎?45F 06/27 19:36
就知道你是外行
電子支付每秒鐘幾十萬上下你以為是OLG高興停機就停機
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:39:24
噓 : 柯P就是需要你這種幸災樂禍的人 才能一直進步46F 06/27 19:42
持續開放透明個人資料的進步
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:46:47
推 : 他現在是高興停機嗎?他現在是在解決問題,還有OLG也47F 06/27 19:52
→ : 不是你高興停機就停機的,你不知道OLG非常怕停機吧
→ : 外行人說外行話再嗆人外行,黑人問號.jpg
→ : 不是你高興停機就停機的,你不知道OLG非常怕停機吧
→ : 外行人說外行話再嗆人外行,黑人問號.jpg
http://i.imgur.com/GronLaY.jpg
![[圖]](http://i.imgur.com/GronLaY.jpg)
這垃圾平台要是這麼好怎麼會只有這些評價
就是拿全民來公測啦,柯粉還不趕快動員上去洗評價
※ 編輯: tedpc (114.35.185.72), 06/27/2017 19:58:25
→ CenaC …
推 : 連花錢買個domain都沒 700萬的專案耶51F 06/27 20:07
推 : 這真的是柯市府掉漆的一次 加密已經是再基本不過的事52F 06/27 20:10
http://news.ltn.com.tw/news/local/paper/1070579
〈台北都會〉員工個資外洩 柯:全面檢討資安 - 地方 - 自由時報電子報
![[圖]]()
雅虎搜尋引擎竟搜到北市府「薪資發放管理系統」資料,公僕個資全都露,資訊局長李維斌昨早開記者會解釋,系統二○○二年開發迄今,資安需求不合時宜,市議會已通過預算汰換;但事發突然,估計約兩千名員工個資外洩。市長柯文哲說,凡事不以個案處理,已調查還有哪些資安系統需要更新。李維斌表示,已向市議會爭取今年度二三 ...
![[圖]](http://img.ltn.com.tw/2017/new/jan/12/images/bigPic/600_294.jpg)
〈台北都會〉員工個資外洩 柯:全面檢討資安
※ 編輯: tedpc (114.35.185.72), 06/27/2017 20:11:51
→ : 雖說是標案 但驗收難辭其咎53F 06/27 20:13
→ : 哪家廠商阿囧....之前遇過一個巨匠出來的工程師,兜server54F 06/27 20:16
→ : 都會用 https惹
→ : 都會用 https惹
→ : 專門在搞金流服務的科技公司我想應不至於犯這種錯 也許存56F 06/27 20:17
→ : 在標案公司本身無法插手的部分
→ : 在標案公司本身無法插手的部分
柯市府最引以為豪的 SOP 該公開出來讓專業的鄉民來檢閱系統上線是怎麼做的
噓 : 柯黑持續高潮中 太快修好就沒得高潮了 您先爽58F 06/27 20:18
樂見柯粉是這種程度
→ : 但這種情況驗收應該要通盤納入59F 06/27 20:18
※ 編輯: tedpc (114.35.185.72), 06/27/2017 20:19:37推 : 錯了也完全罵不得…再繼續寵下去啊60F 06/27 20:37
→ : 真的是公開透明61F 06/27 20:57
推 : 哪間石器時代廠商啊,連用火都不會62F 06/27 20:58
→ : 哇靠63F 06/27 21:01
推 : 這真的很外行64F 06/27 21:31
推 : 糗囉~~65F 06/27 21:35
噓 : 太誇張了 真的66F 06/27 21:37
推 : 怎麼驗收的? 台灣公務體制真的有問題67F 06/27 21:37
驗收????開發廠商總經理都坦承未驗收先上線
台北市府有無涉嫌放水?讓廠商規避違約罰則,為何未驗收的系統就可以先上線?
pay.taipei承包業者藍新科技總經理詹聖生表示,這個智慧平臺在去年底已經大致完成,
但因為需要等其他行動支付業者完成相關的系統介接,所以中間有將近半年的時間處於被
動等待的狀態,目前整個系統還沒有完成最後驗收程序。
http://www.ithome.com.tw/news/115159
離譜!上線前忘記切換HTTPS加密傳輸,北市智慧支付App回傳的帳號密碼全曝光 | iThome
![[圖]]()
臺北市政府資訊局協同pay.taipei承包業者藍新科技,第一時間下架舊版安卓App,並在一天內,重新上架新版App。這樣的資安疏失發生原因,則和藍新科技在將App從測試環境轉換到正式環境前,為了將傳輸協助從HTTP轉換成HTTPS有關係
...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/paytaipei_screen.jpg)
推 : 藍星科技接的案子 這間很有名 怎麼會出這種低級失誤68F 06/27 21:38
推 : ..........這種低級錯誤也太69F 06/27 21:40
推 : 還是蘋果好70F 06/27 21:52
※ 編輯: tedpc (114.35.185.72), 06/27/2017 22:00:21推 : 錯了就錯了,柯文哲被洗臉也是自找的,哈哈活該哈哈71F 06/27 22:07
→ : 我支持你盡量罵,螺絲鬆了就要鎖緊,這樣才會進步
→ : 我支持你盡量罵,螺絲鬆了就要鎖緊,這樣才會進步
現在問題更大了吧 還沒驗收為何搶著上線?合約履約期限該公布出來讓大夥看看
※ 編輯: tedpc (114.35.185.72), 06/27/2017 22:10:26
→ : 敢推出來就要有被洗臉的覺悟,自己沒盯緊怪不了別人73F 06/27 22:10
推 : 殘念 沒弄好再推74F 06/27 22:12
→ : 藍新是老牌金流公司了 這間就過往的經歷跟合作過的案子應75F 06/27 22:26
https://goo.gl/p7ja9L
Dropbox - 2.契約書(含需求規範).docx
![[圖]]()
Dropbox is a free service that lets you bring your photos, docs, and videos anywhere and share them easily. Never email yourself a file again! ...
![[圖]](https://cfl.dropboxstatic.com/static/images/icons128/page_white_word.png)
本案規格與契約在這
裡面就寫到
8.資訊安全
於網際網路進行資料傳輸時需使用安全加密傳輸協定,例如:https。
※ 編輯: tedpc (114.35.185.72), 06/27/2017 22:27:49
→ : 不會有什麼太大的問題76F 06/27 22:26
推 : 怕被中央拖垮 台北落後太久 當然先上再說 管他什麼驗收77F 06/27 22:38
推 : 市長話都說出去了 這麼多人在等 東西交不出來能看嗎?
推 : 市長話都說出去了 這麼多人在等 東西交不出來能看嗎?
--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 38
回列表(←)
分享