離譜!北市智慧支付App採用HTTP的明碼傳輸方式,回傳資料未加密,密碼全曝光

離譜!上線前忘記切換HTTPS加密傳輸,北市智慧支付App回傳的帳號密碼全曝光

臺北市政府之前率先全臺推出「臺北市政府智慧支付平臺pay.taipei」,但在6月27日大約中午時分,便在開發社群瘋傳一張pay.taipei出現資安漏洞的網路截圖,揭露這個已經上架的Android App在連回後端伺服器時,採用HTTP的明碼傳輸方式,這也使得使用者的帳號密碼,都有被公開攔截的風險。

臺北市政府資訊局應用服務組組長林郁傑表示,市府大約在下午二點左右,同仁發現這樣的訊息並立即和廠商聯繫做修正,第一時間下架Google play的pay.taipei的App,預計在今晚七點左右重新上架新版的App,另外在伺服器端,則會拒絕沒有使用HTTPS的網路連線,以確保使用者帳號密碼的安全性。

人在以色列參訪的臺北市資訊局局長李維斌也第一時間獲知這個消息,他接受記者訪問時則表示,這樣的錯誤並不應該發生,資訊局同仁已經在第一時間進行善後與修補動作,他也強調,目前這個pay.taipei智慧平臺並不存放任何使用者的帳號密碼等個人資訊,在改善相關的資安疏失後,也會要求同仁詳查原因,以避免類似的問題再度發生。

pay.taipei系統承包業者藍新科技坦言疏失,更版後將進行App資安檢測

至於pay.taipei承包業者藍新科技總經理詹聖生表示,這個智慧平臺在去年底已經大致完成,但因為需要等其他行動支付業者完成相關的系統介接,所以中間有將近半年的時間處於被動等待的狀態,目前整個系統還沒有完成最後驗收程序。而藍新科技在6月27日在接到有這樣的資安漏洞通報後,也第一時間配合臺北市政府資訊局的作為,下架舊版App並立即更新相關新版App,以確保使用者的安全性。

藍新科技副總經理徐之偉坦言,發生疏失的主因是,測試時沒有使用敏感資訊測試所以先採用HTTP傳輸,但轉換到正式上線環境時,忽略了將傳輸模式從原本的HTTP改成HTTPS。他也說,新版App上架後,該公司也會在系統驗收之前,重新再進行一次系統的源碼檢測,也會在App上架前,進行App資安檢測。

北市府下架舊版安卓App,一天內完成新版更新上架

臺北市政府在6月25日對外正式宣佈結合包括五大電信業者的手機門號實名認證機制,以及加上PI錢包、台新銀行、玉山銀行、ezPay臺灣支付、歐付寶、橘子支付和街口支付等八家行動支付業者,都可以透過臺北市政府推出的這個整合性的智慧支付平臺,支付包括臺北市的水費、停車費,甚至是臺北市例聯合醫院的看診費用。

因為看好這樣行動支付將蔚為潮流,臺北市長柯文哲也率先針對臺北市民在公共服務費用的支付上,提供更多元的支付型態。但也因為涉及金錢的支付,民眾對於相關資安的要求也將以對待金融業者的方式作為檢視的基準。

目前臺北市資訊局先將出包的Android App下架後,也和承包業者藍新科技合作,第一時間進行App的版本更新,目前正在等候Google paly的審查,原資訊局希望最快在今晚將新版App重新上架、不過,晚上九點多,資訊局發布新聞稿表示,還需2~3天才能升級App,升級前將先暫停服務。;至於蘋果手機AppStore的App,還在等候審查中還沒有上架。

北市智慧支付App驚爆回傳資料未加密,密碼全曝光,台北資訊局搶修中

台北市政府兩天前(25日)剛推出的智慧支付平臺pay.taipei,讓民眾可以電腦或手機使用該平臺,支付北市水費、停車費、聯合醫院看診等費用,不過,今天中午卻傳出App回傳帳號密碼資料未加密的問題。

法國一家網域服務供應商Gandi.net亞太區總經理Thomas Kuiper在今天中午前後,上網踢爆了這項消息,還公開了未加密的資料傳輸記錄截圖。這個App後端的資料傳輸,沒有使用Https加密,都採用HTTP和明碼傳輸,帳號和密碼都可以被攔截而曝光。由於註冊帳號可以使用手機、電子信箱和身分證字號,這些個人資料都可能遭攔截。Thomas Kuiper表示,即使是一個700萬元的專案,資料保護不應只是選項,而是必須做的事情。

目前,臺北市資訊局下午2點也接獲通知,正在緊急搶修中,預計在7點前會重新上架修復過的版本,並會出面搶修說明。

台北市剛推出智慧支付App回傳資料時沒有採用HTTPS加密,所以,登入帳號和密碼都可採明碼傳輸,容易遭攔截

pay.taipei才剛上線就下線,原因竟是機敏資料未加密

台北市政府於2017年6月25日正式推出的pay.taipei支付平台,能夠整合台北市政府規費的繳納作業,民眾可以透過pay.taipei繳納停車費、自來水費、聯合醫院等費用。不過在pay.taipei風光上線之後,卻因爆出資安問題,而進行緊急應變處理,並導致App將會暫停服務2至3天。

未使用HTTPS加密

在台北市政府發出的新聞稿中提到:

台北市政府智慧支付平台「pay.taipei」今(25)日正式上線服務,民眾可下載

「pay.taipei」行動 App 或上網站一鍵繳納水費、停車費及聯合醫院醫療費用,

推出首波也結合支付業者各項優惠,吸引民眾加入嗶經濟的智慧行動生活。

可以見得pay.taipei是款便民新措施,但是如果這類牽涉到個人資料與金錢支付相關的服務出現資安漏洞,那麼後果可就會相當嚴重了。

在pay.taipei服務上線之後,域名註冊商GANDI.net的亞洲區總經理Thomas Kuiper就在Facebook上貼文指出,pay.taipei並未使用HTTPS加密技術,並使用固定IP傳送資料。

這樣一來,會讓使用者的機敏資料曝露於高度風險之下,讓有心人士可以輕易竊取、側錄帳號、密碼等資料,甚至可以透過中間人攻擊(Man-in-the-middle attack, MITM)的方式,篡改傳輸的資料內容,讓使用者可能會遭到個資外流、盜刷等情況。

對於此事,台北市政府資訊局也於6月27日晚間9點21分提出說明,指出當日下午2點就發現pay.taipei的App「背景資料未採用較安全的方式傳輸」,並於下午4點改善完畢,網站服務會在27日完成更新重新上線,而App需暫停服務2至3日才會再度上線。

資訊局也坦誠,廠商的設計未能依招標規範規定採用安全的傳輸方式,而資訊局在系統上線時,也未能及早發現其疏失。

SSL或TLS加密保護資料安全

HTTPS的全名為Hypertext Transfer Protocol Secure(超文字傳輸安全協定),與一般HTTP協定最大的差別,在於會在傳輸過程中為資料加密,以防止資料被側錄、監聽,或是遭到中間人攻擊。

HTTPS連線會透使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)等加密技術,以非對稱加密方式為傳輸的資料進行加密,這時候只有伺服器與使用者雙方能夠解讀彼此傳送的資料,就算攻擊者在在中途將資料攔截下來,也無法解讀被密碼保護的資料,如果要篡改資料的話,也會因為無法將篡改的資料加上密碼而不能得逞,因此能夠保障資料傳輸的安全。

從資訊安全的角度來看,這個過失算是個低級失誤,不過除了台北市政府之外,Sony之前也曾發生類似的過失,在2011年時,旗下電玩網路服務平台PlayStation Network,也發生了儲存使用者資料時未經加密的事件,導致會員資料外洩後,攻擊者不需破解密碼就能直接看到資料。

回到pay.taipei 事件,Thomas Kuiper也在Facebook表示pay.taipei除了有資安問題外,還有著世界上最丑的標誌,並且在服務上線時藉由一群Show Gril造勢,難道就沒有一些關於pay.taipei的好消息嗎?看來在他眼中,嚴謹的資安規範比Show Gril福利社更加重要。


忘記切換HTTPS加密傳輸?think絕對不是忘記!絕對是從來一直都是「沒有採用HTTPS加密」!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏