台北市政府去年花1025萬建置「Hello Taipei單一陳情系統」,市議員謝維洲今(13)日踢爆,系統附加的網頁及APP未加密,恐有個資外洩疑慮,實際找資安團隊測試後,發現民眾輸入的資料、投訴內容悉遭側錄,謝維洲痛批,這根本是個「單一出賣個資系統」。

我是廣告 請繼續往下閱讀
謝維洲指出,台北市長柯文哲上任後,動用1025萬推出單一陳情系統,除了網頁版本外,還有Android及ios兩版本APP供民眾使用,不過,因手機程式系統未加密,有資料外洩疑慮,而實際找資安團隊測試後,發現只要使用中間人攻擊(MITM),就能將民眾輸入的資料,包含電話、姓名、陳情內容,通通側錄出去。

謝維洲質疑,市府建置單一陳情系統,根本淪為「單一出賣個資系統」,也違反與廠商睿揚資訊簽訂的契約中,第19條「資訊安全責任」規範,要求立即下架未加密的APP。

台北市資訊局系統發展組股長陳崴逸說明,目前所知有資安外洩疑慮的,應為Android版本的APP,由於前端沒有安全加密的傳輸方式,使資料在傳輸到後端的過程中,出現資安風險,有心人士可能在特定的環境及技術下,擷取使用者資料,估計影響約3700名使用者,而網頁版本及ios手機程式並無此風險。

陳崴逸說明,單一陳情系統Android版APP在去年11月上架前,原本有使用GCA政府憑證,但因無法通過Google Play審查,廠商才更改系統框架,導致出現資安風險。他補充,自7月2日發現程式漏洞後,廠商已將GCA政府憑證更改為商業憑證,並於7月10日完成程式修改。

台北市資訊局主秘陳慧敏解釋,APP上架至今,未曾接獲民眾通報,或出現使用者行為被駭之事,未來將配合中央,研擬APP上架的檢測SOP,加入資安檢測的規範。