「PayTaipei」爆资安漏洞 个资未加密恐被看光光
▲柯文哲出席PayTaipei记者会。(图/台北市政府提供)
记者陈家祥/台北报导
台北市政府智慧支付平台「PayTaipei」25日举办上线发表记者会,透过平台整合让过去分散四处的自来水费、停车费、联合医院医疗费等,整合成「PayTaipei」平台,不只可以一键缴纳,付帐上时间与空间的限制也都不见了。但27日却传出,App回传帐号密码资料未加密的问题。
对此,资讯局表示,下午时发现APP有一个资安弱点,立即下架APP并展开应急处理;资讯局说,此一漏洞不会有立即性的危险,但会让资料比较容易被骇客等有心人士攻击。目前没有发现资料外流,而APP重新上线的时间仍不确定。
法国网域服务供应商Gandi.net亚太区总经理Thomas Kuiper在今天中午左右发现,「PayTaipei」App后端的资料传输,没有使用「Https」加密,都采用HTTP和明码传输,帐号和密码都可以被拦截而曝光。由于注册帐号可以使用手机、电子信箱和身分证字号,这些个人资料都可能遭拦截。