#1
|
||||
|
||||
未用 HTTPS、明文傳輸密碼,pay.taipei 北市府支付平台安全性不及格
原本預計 5 月初上線,由台北市政府推行的一站式繳費平台 pay.taipei 經歷延後推出,終於在 6/25 正式上線。 然而上線後網友卻不太滿意,從圖示、logo 太醜,到使用體驗太差的意見都有,也可以從 Google Play 上 1.4 顆星的評價看出,底下光登入流程都會卡住的留言絕非個案。 更嚴重的問題是,身為政府支付平台,pay.taipei 的 app 安全性嚴重不足,更可能將大眾的資訊暴露於危險當中。Gandi.net 亞洲區總經理 Thomas Kuiper 試用後, 發文 指出 pay.taipei 的 app 連 https 都沒用上,密碼還是以純文字傳送,而且用固定 IP 傳輸資料。他也向 INSIDE 補充,「就算專案預算『只有』700 萬台幣 ,資料防護不是可有可無的選項之一而已。」(Data protection is not only an option, even if the budget of a project is "just" 7 million NT$.) 台北市資訊局長李維斌在今年 2 月的 記者會 上,表示 pay.taipei 平台企圖整合各類繳費項目,並且支援多家支付業者,除了提供民眾更多元的繳費方案以外,也能推廣台灣的數位支付使用情境,系統由藍新科技建置,也耗費了不少時間與各家支付業者協調及介接系統。 儘管可以理解統整資源來建置統一繳費入口 pay.taipei 並不容易,而且根據李維斌所說,主要為面向支付業者提供資源,但市政府自家 app 資料傳輸的安全性卻是不容妥協與忽視的問題,除了應儘速修補外,對於 pay.taipei app 整體的使用體驗和目的性可能要再多花點心思及專業來重新考量。 文章來源:www.inside.com.tw/2017/06/27/pay-taipei-failed-on-safety-levels |
#2
|
||||
|
||||
〈自由時報〉薪資系統個資外洩,北市府遭糾正
為處理轄下機關、學校、議會人員薪資發放、考績等業務,台北市政府斥資開發設計的「薪資發放管理系統」,由於沒有妥善保護個人資料,導致部分公務員姓名、薪資、考績等資料曝光在網路,以及台北市政府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei Android版 App」有使用者帳號、密碼外洩情形,監察院內政及少數民族委員會前天為此審查通過監委高鳳仙、江綺雯調查報告並糾正台北市政府。
2千多人受害 嚴重疏失 高鳳仙、江綺雯指出,台北市政府於一百年間,將薪資系統主機由內網移至DMZ(邊界網路)區,卻未完善資安防護配套,一○六年一月間爆發員工個資外洩事件,使四萬餘名市政府員工陷於個資外洩風險,且因一百九十筆薪資報表檔案連結外露,其中十八張報表連結疑遭廿三個外部 IP連結或下載,實際受影響員工數達二千三百一十三人,直到監察院約詢後,才個別通知疑遭個資外洩員工並採取因應措施,有嚴重疏失。 根據監委調查,台北市政府近三年來,共編列約二億一千萬餘元的資安防護預算,卻發生至少十九起資安事件,其中十七起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事,高達十二起肇因於「應用程式漏洞」或「軟硬體漏洞」,兩起個資外洩,六起遭外部有心人士實際入侵,違失情節明確。 高鳳仙、江綺雯並表示,「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係因採用國家發展委員會 GCA SSL憑證進行加密,但該憑證當時與 Google Play還不相容,台北市政府未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發兩件因未採用 https加密技術,而導致個資外洩爭議,核有疏失。 資訊局:已編補強、汰換預算 對此,台北市資訊局昨晚則發出聲明表示,資訊系統目前已規劃配合系統評估,進行資訊安全風險的補強,無法修補者會優先編列於明年度的預算中進行汰換,預算正在台北市議會審議中。另已對市府所有標準作業流程進行資訊安全檢測,並修訂市府 App上線 SOP及管理規定,要求市府所有 App均應符合經濟部工業局行動化應用軟體檢測標準,才能提供民眾下載使用。 資訊局也說,對於監察院的關心及指示,他們再一次表示感謝及虛心檢討,會在相關政策、處理流程及技術上持續加強。 news.ltn.com.tw/news/local/paper/1158614 |
#3
|
||||
|
||||
現在有https
還是被罵了才改。 真是市政北七路
__________________
網址註冊.tw /.台灣 $549年,.com $350/年,.cn $400/年。 台灣 WordPress 虛擬主機含高級主題 Astra Pro$2,000/年起。。 台灣HiNet機房 VPS $198/月, 所有價錢含台灣稅金,台灣信用卡手續費. |
#4
|
||||
|
||||
我半夢半醒間好像到了鏡花緣中的一個天蛇國裡看到以下一景。
工讀生做好網站後,某負責的公務員就去向某長官報告「長官,網站完成了。」 長官:「哦,看起來不錯,功能如何?你試用給我看看。」 於是該公務員就直接在電腦前操作一番,長官看了很滿意:「looks good」。 然後就一層一層上報,並且都由該公務員去更上層那裡演示,因為除了他之外,沒幾個人真的會用這個網站的功能。 然後就由新聞單位對外公開了。 然後一陣叫罵聲就來了。 大長官說:「外界批評這是什麼碗糕啊?什麼加密?你不用和我解釋,交待負責局處去解決。」 小長官被罵之後就叫該公務員來:「什麼網站沒有加密?這是啥意思?加什麼密?」 公務員就解釋了一下,小長官頻頻點頭,好似有懂但其實不懂,就說:「那快去改一下。」 該公務員就去line那個工讀生「網站為何沒有加密?」 工讀生「你也沒說,我怎知道。」 公務員「那快改一下啊?」 工讀生「這個更複雜了,要加錢喔。」 公務員「好啦,反正快弄。」 工讀生「ok」 公務員的同事說「靠,又要加錢,長官會准嗎?」 公務員:「怎會不准?現在當務之急就是讓外界沒有批評。而且長官根本沒有概念,只要說加密是很高科技的東西,一定會相信的,加多一點錢不是難事。」 |
#5
|
||||
|
||||
真是幽默
的確,請醫生台推廣線上金流就是車拉驢,不是驢拉車。 上台推廣的因該是工讀生。 隔行如隔山。
__________________
網址註冊.tw /.台灣 $549年,.com $350/年,.cn $400/年。 台灣 WordPress 虛擬主機含高級主題 Astra Pro$2,000/年起。。 台灣HiNet機房 VPS $198/月, 所有價錢含台灣稅金,台灣信用卡手續費. |