台北市長柯文哲上任後核定建置「台北市單一陳情系統HELLO TAIPEI」,被議員踢爆漏洞百出,超過38萬筆民眾申訴案件中的個資恐將一覽無遺,痛批資訊局怠忽職守,並要求柯文哲公開道歉及嚴懲資訊局長。不料,資訊局今回應表示,資訊系統並沒有100%的安全,更呼籲民眾「尋正式管道」向北市府反映。
北市議員陳孋輝日前表示,柯市長上任後核定建置「台北市單一陳情系統HELLO TAIPEI」,資訊局於104年7月31日公告招標,得標廠商叡揚資訊股份有限公司,決標金額1025萬元,自驗收合格日起算保固1年至106年5月19日,接續維護及辦理契約擴充至107年12月31日,費用875萬元,合計1900萬元。
但進入「HELLO TAIPEI」,點選待確認的陳情案件按下「重寄確認信」,畫面會顯示「請您輸入原本來信之電子信箱,經系統比對相符後,我們會重新再寄送一次請求確認電子郵件。」不過,民眾只要按右鍵於程式碼進行若干步驟後,回陳情系統按下重寄確認信,輸入非原本來信之電子信箱,進信箱收信點選來信確認,即可一覽無遺所有陳情案件,包括案件陳情民眾姓名、地址、行動電話,一旦遭歹徒利用後果不堪設想。
陳孋輝議員表示,此重大資安漏洞於106年12月即提醒資訊局,不料毫無動靜,陳情系統粗糙至極,陳情民眾個資不知已外洩多少,資訊局根本未把關,陳情系統於105年11月上線,至107年3月底止,陳情案件高達38萬6457件,民眾個資全無保障。她痛批資訊局怠忽職守,要求柯文哲公開道歉,並嚴懲資訊局長李維斌。
事隔兩天後,資訊局今回應,事件是利用非正常操作行為繞過系統驗證機制,竊取陳情人之陳情內容及個人資料,經查有數筆資料受到影響,資訊局於當日已修補此資安弱點,並依通報程序進行入侵事件通報,同時調閱相關日誌進行後續法律程序,以維護民眾權益。
資訊局認為,資訊系統並沒有100%的安全,但已知的漏洞不該存在。故各項系統均有進行相關資安弱點掃瞄,以修補已知之資安弱點。惟本次資安弱點以弱點掃描工具無法檢測,為減少弱點掃描盲點,今年將擴大滲透測試範圍,委託專業資安團隊針對系統進行大範圍深度檢測。資訊局最後表示,感謝議員提醒,並呼籲民眾如有發現系統漏洞,請尋正式管道提供本府相關資訊,以利第一時間進行修補。
