台北市政府今年初風光上線的「Hello Taipei單一陳情系統」,整合熱線1999、市政信箱、各機關臨櫃及書面陳情等功能,上路半年多卻被議員爆出程式有個資漏洞,台北市長柯文哲被批當初拍胸掛保證的資安防護措施徹底破功。
民進黨籍台北市議員謝維洲今(13)日質疑柯文哲日前才傳出支付平台pay.taipei一上線就發生「背景資料未採安全的方式傳輸」問題下架更新,年初耗費1000多萬打造的「Hello Taipei單一陳情系統」又發生同樣的問題。
謝維洲指出,單一陳情系統除網頁版本外,亦建置Android及iOS手機系統版本,所有的個資不管從哪一個手機系統傳輸到伺服器這當中,完全沒有任何加密,這樣近乎全裸的資料,只要使用中間人攻擊(Man-in-the-middle attack, MITM)就會將民眾輸入的身分證號、帳號、密碼甚至投訴的理由全都側錄出去。呼籲北市府立即將所有未經傳輸加密措施的App下架更新,別讓政府App淪為出賣市民個資的大漏洞。
台北市資訊局系統發展組股長陳崴逸表示,單一陳情系統網頁版本及iOS系統全程採GCA政府憑證,而Android系統因廠商在建置時,無法以GCA政府憑證加密,之後透過技術方式克服加密傳輸,近期發現系統後端沒有問題,但前端仍未經加密傳輸,有個資外洩疑慮,緊急與廠商溝通後,再採商業憑證方式,7月10日重新上架。
陳崴逸說,目前「Hello Taipei單一陳情系統」Android使用者約3700多人,並未儲存會員個人資料,僅傳輸民眾陳情需要的資料,包括姓名、聯絡方式、陳情內容等,沒有身分證號、信用卡號等外洩疑慮。
