顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2017-06-28 10:04:03
看板 Gossiping
作者 sixf0ld (coldrain)
標題 [新聞] pay.taipei遭爆恐洩個資 北市坦言有疏?1
時間 Tue Jun 27 21:54:06 2017


蘋果日報
※ 例如蘋果日報、奇摩新聞


2.完整新聞標題:
pay.taipei遭爆恐洩個資 北市坦言有疏失
※ 標題沒有寫出來 ---> 依照板規刪除文章


3.完整新聞內文:

台北市政府智慧支付平台pay.taipei本周日才風光上線,但卻有網友告誡民眾千萬不要用
此平台,因為個資都是明碼,會外洩。市府資訊局今坦言,第一版智慧支付平台的超文字
傳輸協定是用沒加密的http,而非經過加密的https,所以帳號與密碼都採明碼傳輸,確
有外洩風險,亦即具備一定技術的人(如駭客)有辦法透過監控軟體去拆看資訊傳輸的封
包,進而洩露個資。資訊局統計,兩天以來pay.taipei下載量約1千人次。台北市智慧支
付平台(電腦版)剛已更新,將網址從http改為https://pay.taipei/ 。APP將暫停服務
,會等2到3天再度上線提供服務。

台北市資訊局表示,設計此平台的廠商已坦言疏失,也緊急修正,今晚Android系統的智
慧支付平台已改為加密版本,而iOS系統要等蘋果公司核定,所以建議用iPhone的民眾先
不要下載。


http全名是「HyperText Transfer Protocol」,中文稱為「超文字傳輸協定」,是網際
網路上應用最為廣泛的一種網路協議。設計http最初的目的是為提供一種發布和接收HTML
頁面的方法。


有網友質疑,智慧支付平台得標的廠商藍新科技2014年就曾傳出盜刷事件。新加坡約30名
信用卡和轉帳卡客戶,在不知情的狀況下被藍新科技收取款項,此案涉及6家銀行,當時
藍新科技回應,卡號在銀行端或是清算中心沒做好管控就可能被不法集團掌握,藍新的付
費平台也算是受害者。網友批評,藍新科技曾出包,為何北市府這次還跟他們簽約?


資訊局表示,此案採取最有利標方式讓廠商競爭,當時有兩家廠商參與投標,但其中一家
廠商因資格不符在評選前就被刷掉,藍新科技經過評選合格後,便與市府議價。資訊局強
調,目前首要的是先做緊急搶修,當初與藍新的合約有要求進行加密傳輸,待釐清相關責
任後會做處置。


資訊局晚間發布新聞稿說,下午2時發現APP存在資安風險,經查是APP背景資料未採用較
安全的方式傳輸,已於下午4時處理完畢,因系統上線仍有資料更新及修正所需時間,網
站今日完成更新重新上線,而APP暫停服務,會等2到3天再度上線提供服務。


資訊局表示,「智慧支付平台pay.taipei」係作為支付業者及各機關的服務中介,本身不
處理金流,使用者所輸入的資料僅用於身分確認,此平台亦不會儲存會員的個資,廠商的
設計未能依招標規範規定採用安全傳輸方式,而資訊局在系統上線時,也未能及早發現其
疏失,會深自檢討,除重新修訂、強化相關SOP外,並嚴格要求廠商全面檢視程式的安全
性,讓民眾使用得更安心。 智慧支付平台為全國首創服務,推動過程中發生的問題及困
難,將逐步改善。(張博亭/台北報導)

※ 社論特稿都不能貼! 違者退文,貼廣告也會被退文喔!


4.完整新聞連結 (或短網址):
http://m.appledaily.com.tw/realtimenews/article/new/20170627/1149199/
pay.taipei遭爆恐洩個資 北市坦言有疏失│即時新聞│20170627│蘋果日報
[圖]
蘋果日報網站提供即時、快速、豐富的最新時事動態,包含國際、社會、娛樂、政治、生活、財經等最新訊息,並為您搜奇地球村萬象與趣聞,強調有圖有真相、影片最明白,讓您時時刻刻掌握天下事! ...

 
※ 當新聞連結過長時,需提供短網址方便網友點擊


5.備註:

用http,帳號密碼都純文字明碼傳輸,固定IP資料傳輸
扯到爆炸
隨便Sniff一下就可以攔截帳號密碼了
這種最最最基本的錯誤都可以犯
無言了

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.9.95
※ 文章代碼(AID): #1PKcE2Bq (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1498571650.A.2F4.html
MotleyCrue: 好險我都用支付寶1F 06/27 21:54
FlynnZhang: 柯黑高潮2F 06/27 21:54
我不是柯黑,但這真的很誇張 交易相關的竟然用http明碼,是智障嗎?
fuhu66: 支父寶表示:3F 06/27 21:55
abram: 一直OP 沒有其他新聞泥4F 06/27 21:55
哪裡op了?? 只有一篇ithome的,格式還不對
omanorboyo: 知道支付寶多進步了吧5F 06/27 21:55
支付寶也沒在管隱私權的好嗎
ToToRoTW: 台北市有臺北市的玩法6F 06/27 21:58
rsstar: 還是支付寶方便 明碼暗碼都沒差7F 06/27 22:04
※ 編輯: sixf0ld (61.230.9.95), 06/27/2017 22:05:46
Xenogamer: 滿扯的 這種委外都要驗收吧 都沒發現就上線了?8F 06/27 22:08
Wilkie: 八對關柯p 的事  又是內鬼在亂搞9F 06/27 22:11
Wilkie: 不關
purplvampire: 出包是柯文哲跟資訊局要負責,是他們要負責管控品質11F 06/27 22:15
purplvampire: 自己沒做好PoC就推出來,被洗臉活該
kenro: 有爽就好,可以下去領錢了13F 06/27 22:20
Dinki: 這種包換作是在金融業絕對是重大缺失  14F 06/27 22:21
chicham: 最基本的電子商務資料傳遞原則都不懂,還搞智慧支付15F 06/27 22:22
pttyu: 柯就大好喜功  講得多驚天動地不能被拖垮  結果亂驗收一通16F 06/27 22:32
vn509942: ....這種疏失很悲哀17F 06/27 22:47
doom3: 政府的錢很好賺的 案子先標下來再說 要改請加錢18F 06/27 22:47
vn509942: 我也不是柯黑 但這種錯根本不該犯19F 06/27 22:48
hipmyhop: 我不懂 政府推這個幹嘛20F 06/27 22:51
vitalis: 太誇張,稍有資訊常識的都知道有問題,這包商那裡找來的?21F 06/27 23:56
maxn86: 該不會又是最低價的爛標標出去吧22F 06/28 00:32
ECZEMA: 應該很好駭吧! 這麼低能的錯誤顯見無資安概念23F 06/28 00:38
triplee: 藍新科技不算是來路不明的包商 算是台灣搞金流起家的代表24F 06/28 00:57
triplee: 之一 這次會出這種包是挺匪夷所思
triplee: 另外你這篇紅字的部分是卡號被盜後 盜領者用藍新串的金流
triplee: 服務刷卡 而不是藍新自己的系統被駭
triplee: 基本上藍新的業務很廣 也有提供不少中小企業的金流串接
※ 編輯: sixf0ld (61.230.9.95), 06/28/2017 01:09:18
startiger 
startiger: 果然庸醫免不了誤診29F 06/28 05:41
※ 編輯: sixf0ld (61.230.9.95), 06/28/2017 09:14:40

--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 1908 
※ 本文也出現在看板: K_hot
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇