台北通又出包!一資安漏洞住家地址被看光

快新聞/台北通又出包!一資安漏洞住家地址被看光 議員:低級錯誤
台北通又出包。(圖/擷取自台北通官網)

台北市長柯文哲上任後,力推App台北通,但先前遭質疑「.taipei網域」由中國阿里雲託管,恐將個資流向中國,北市資訊局回應為委外管理,會對外包營運廠商依合約進行議處。現在議員再踢爆,台北通只要輸入水號就可得知他人地址、輸入車號就可知道車主還有多少停車費未繳清,若被犯罪集團或有心人士盜取個資,用來詐騙,恐將成為治安缺口,而且全民都可能是受害者。

民進黨市議員陳怡君今質詢時指出,台北通存在啟人疑竇的資安漏洞,其內建的繳費功能,只要輸入水號便可查知他戶還剩多少欠費,但恐怖的是地址也跟著曝光。以她自己的服務處為例,輸入水號後顯示地址「*北市*同區*慶*路三段295巷6號一樓」,這樣的遮蔽形同虛設;更離譜的是,服務處流水號修改一個號碼,就可以亂窺視其他住戶近三年的用水狀況。

陳怡君憂心,因為近年正逢疫情期間,很多旅居國外的市民短則半年、長則一到兩年無法回國,若是被有心人士用來探查,住戶的隱私恐全都露。

陳怡君也提到,台北通的第一道漏洞,是無需進行任何驗證關卡便可進入查詢,以資安的角度不管再怎麼圖方便,至少也要做到初步驗證用戶的身份,而第二道漏洞是地址的去識別化只做半套,「哪有人地址打碼是打這樣的」,她直呼這樣的設計簡直不可思議,根本是「打開台北通,全民查水表」。

陳怡君說,不只水費的繳費功能有個資漏洞,停車費也存在類似的問題,只要輸入大街小巷任何一台車的車牌號碼,就可以知道車主有幾筆尚未繳納、金額款項是多少,甚至連停車的日期日間、幾點到幾點都通通曝光。

陳怡君痛批,市府廣推台北通APP,卻未善盡固守資安的責任,水費帳單在一般家戶信箱隨手可得,有心人士若意圖不軌,信手捻來便可得知該家戶近三年用水情況,以反推是否有住人,更嚴重的話要是落入詐騙集團手中,打電話告訴你「還有多少錢沒繳」以取得信任,進一步的後果恐不堪設想。

陳怡君要求,市府資訊局應儘速改善相關漏洞,除了在App必要處設置身份驗證關卡之外,個資的去識別化也應該更嚴謹,「越低級的錯誤會產生越大傷害」,此外也應該徹查其他App如悠遊付是否也有相同問題,還給市民一個安心的上網空間。

文章來源

You may also like...

發佈留言