台北市支付平台pay.taipei個資未加密,iPhone用戶暫時別下載

台北市支付平台pay.taipei個資未加密,iPhone用戶暫時別下載
Photo credit:翻攝自pay .taipei
我們想讓你知道的是

智慧支付平台得標廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項。為何台北市這次還跟他們簽約?

(中央社)

台北市政府25日推出的智慧支付平台「pay.taipei」,可做為支付北市自來水、停車等費用,但昨(27)日傳出app回傳帳號密碼資料未加密,市府表示,app已暫停服務,預計3天左右重新上線。

25日,台北市資訊局推出號稱「全國首創」的市政繳費整合平台pay.taipei,民眾可透過pay.taipei平台繳納水費、停車費及聯合醫院醫療費用。當時與八家支付業者合作,包括Pi行動錢包、台新銀行、玉山銀行、ezPay台灣支付、歐付寶、愛貝錢包、街口支付以及橘子支付,業者也推出專屬優惠吸引民眾下載app。

但台北市資訊局昨(27)日下午2時發現app存在資安風險,經調查為app背景資料未採用較安全的方式傳輸,趕緊在當天下午4時做應變處理完畢,目前網站部分已經完成更新重新上線,但app會暫停服務,預計2到3天左右時間才會再度上線提供服務。

資訊局表示,智慧支付平台pay.taipei是作為支付業者及各機關的服務中介,本身不處理金流,使用者所輸入的資料僅用於身分確認,也不會儲存會員的個資,廠商的設計未能依招標規範規定採用安全的傳輸方式,且資訊局在系統上線時,也未能及早發現其疏失,會深自檢討,除了重新修訂、強化相關SOP外,將嚴格要求廠商全面檢視程式的安全性,讓民眾能夠使用得更安心。

INSIDE報導,法國網域名註冊商Gandi.net亞洲區總經理庫伊伯(Thomas Kuiper)試用後, 發文指出pay.taipei的app連https都沒用上,密碼還是以純文字傳送,而且用固定IP傳輸資料。他也向INSIDE補充,「就算專案預算『只有』700 萬台幣 ,資料防護不是可有可無的選項之一而已。」

聯合報導,資訊局坦承,若駭客透過監控軟體去拆看資訊傳輸的封包,至少就可取得使用者的手機號碼。資訊局統計,目前約1,000人下載,且已開始繳費,但目前沒有看到任何異常的駭客行為。

蘋果報導,台北市資訊局27日晚間已經將Android系統的智慧支付平台改為加密版本,而iOS系統要等蘋果公司核定,所以建議用iPhone的民眾先不要下載。

有網友質疑,智慧支付平台得標廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項,此案涉及六家銀行,當時藍新科技回應,卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握,藍新的付費平台也算是受害者。網友批評,藍新科技曾出包,為何台北市這次還跟他們簽約?

資訊局表示,此案採取最有利標方式讓廠商競爭,當時有兩家廠商參與投標,但其中一家廠商因資格不符在評選前就被刷掉,藍新科技經過評選合格後,便與市府議價。

維基百科介紹,https全名為「Hypertext Transfer Protocol Secure」,中文譯為「文字傳輸安全協定」,是一種網路安全傳輸協議。在計算機網路上,https由超文字傳輸協定進行通訊,但利用SSL/TLS來加密封包。

核稿編輯:楊士範