「PayTaipei」爆資安漏洞 個資未加密恐被看光光
▲柯文哲出席PayTaipei記者會。(圖/臺北市政府提供)
記者陳家祥/臺北報導
臺北市政府智慧支付平臺「PayTaipei」25日舉辦上線發表記者會,透過平臺整合讓過去分散四處的自來水費、停車費、聯合醫院醫療費等,整合成「PayTaipei」平臺,不只可以一鍵繳納,付帳上時間與空間的限制也都不見了。但27日卻傳出,App回傳帳號密碼資料未加密的問題。
對此,資訊局表示,下午時發現APP有一個資安弱點,立即下架APP並展開應急處理;資訊局說,此一漏洞不會有立即性的危險,但會讓資料比較容易被駭客等有心人士攻擊。目前沒有發現資料外流,而APP重新上線的時間仍不確定。
法國網域服務供應商Gandi.net亞太區總經理Thomas Kuiper在今天中午左右發現,「PayTaipei」App後端的資料傳輸,沒有使用「Https」加密,都採用HTTP和明碼傳輸,帳號和密碼都可以被攔截而曝光。由於註冊帳號可以使用手機、電子信箱和身分證字號,這些個人資料都可能遭攔截。