Ubike爆资安危机!悠游卡刷车柱恐泄个资 先知工程师反被当内鬼
图、文/镜周刊
YouBike在4年前大当机,业者怀疑是自家工程师恶搞所致,愤而报警处理,如今案情出现大逆转!台中高分院认为,无直接证据显示是特定员工所为,判决工程师无罪定谳,但却罕见的严厉批评业者资安警觉不足,不但一堆员工可循公用帐密操控管理主机,就连职离者也可使用。
▲YouBike车柱程式由中国北京科技公司研发,资安管理若未做好,不禁让人担心是否连持悠游卡借车时都可能个资外泄。(图/镜周刊提供,下同)
此外,院方还认为,业者发现全案是人为造成,却未积极限制登入权限,以利证据保存,连瘫痪的车柱控制器程式都由来自中国北京的科技厂商研发,资安风险让人忧心。
离谱的是,合议庭意外发现,微程式公司的资安管理明显有疏失,离职员工竟仍可使用公用帐密登入主机,且就在案发前一天,还有相关登入主机的行为,并有原始的log纪录为凭,遭法院严词批评,演变成业者因YouBike瘫痪欲抓鬼不成,却反被法院倒打一耙。
由于攸关民众权益,法官罕见地在判决书严厉批评,微程式公司未妥善控管登入帐号权限范围,资安警觉度已有不足,且于发觉全案乃人为所致,却未积极限制登入权限,以求进一步保存证据,以致无从认定是谁以公用帐号登入犯案,纵使廖嫌具有修改程式能力,也无法因此认定是他所为。
除了人为严重疏忽外,合议庭还发现YouBike的车柱控制器历来更新程式,竟外包由中国北京科技厂商「北京友我公司」开发原始码,完成后转成十六进位档,再透过「腾讯QQ」通讯软体传送回台,交由微笑单车的系统承包商邱姓工程师,由邱将十六进位档透过该公司程式,转成二进位档进行各种操作测试,以确认该程式是否可运作正常,之后才进行后续软体更新程序。
根据北京友我科技公司的官网介绍,该公司规模不大,成立约11年,员工数介于5到50人间,业务范围包括智慧卡和磁卡、作业防护产品及门禁考勤系统销售,并未提及任何实绩或详述该公司有何本领可拿下YouBike车柱程式开发案,不禁让人纳闷难度不高的车柱软体案为何要大费周章委由中国厂商设计,且若未做好资安管理,是否也会造成消费者持悠游卡或一卡通骑乘YouBike时,因实名制而有个资外泄的风险。
本刊调查,由于YouBike位在彰化及员林火车站前的场站较大,借、还车次数频繁,消费者靠卡借车时经常出现故障代码而无法借车,业者计划更新程式,先挑选在台中福星公园、重庆公园、大甲体育馆等场站更新测试成功后,决定在2016年8月31日凌晨1点,全面更新中彰地区的停车柱控制器程式。
到了更新前一天,业者还用电子邮件通知公司48位同仁有关程式测试结果及更新时间,结果软体一更新就立刻瘫痪,业者急忙派人抢修2天才恢复正常,估计损失超过2千万元,及影响数十万名通勤族的权益。
检警查出,YouBike大当机是骇客事先以公用帐密,从虚拟跳板主机登入管理主机,再植入「程式炸弹」,导致车柱程式更新时,伺服器下载错误档案而瘫痪,不过,跳板主机的公用帐密除了供研发主管使用,连其他维修工程师及研发部门等共约10位同仁都知道帐密可任意登入,因而全成了疑犯。
检警获报后,发现廖姓工程师曾因不愿夜间轮班及工作态度问题被主管关切,加上他又在系统当机的前一天下午,与同事通讯对话提到「我希望出包」、「上面的才有警觉」等语,还称已找好后路,可安然离职并领资遣费,并在公司发现log纪录被删除前,上网查询「骇客入侵」「如何抓骇客」「内鬼电脑侦查」等纪录,且拒绝测谎,因此被怀疑是内鬼而遭起诉。
不过,他向法官供称,因工服部仅有3名工程师,他一定会被调查,一方面基于好奇,另一方面也想为公司找出凶手,才上网搜寻相关讨论,法官认为,纵使他曾提到「可能公司要倒了」「不关我的事」「我烙跑了」或表明因疲劳而不愿前往抢修等事不关己的言论,但隔天仍前往抢修,并非完全弃公司于不顾,加上关键的IP犯案位址遭删除,缺乏直接证据可证明他犯案,因而判他无罪。
至于关键的资安问题,法官认为既然是人为造成,业者却未积极限制登入权限,以利证据保存,且连瘫痪的车柱控制器程式,都是由中国北京的科技厂商研发。此外,若未做好资安管理,是否会造成消费者持悠游卡或一卡通骑乘YouBike,因实名制而导致个资外泄。
Youbike全台共设有上千个场站,设置地点扩及台北市、新北市、桃园市、新竹市、苗栗县、台中市、彰化县及高雄市等地,最新的会员卡数高达1300万,连骑乘次数也突破1亿7000万余次,俨然已成为都会区不可或缺的交通工具之一。
近来台北市政府计划YouBike升级为2.0引发争议,过去的刷卡电脑将改放到自行车上,消费者直接刷车进行解锁,除了二个版本系统不相容,连新式的停车椿也与1.0版不同,市府还要再花大钱换车并盖停车椿,不只新北市长侯友宜直言「浪费公帑」,连市议员也质疑市长柯文哲被厂商牵着走,相关单位务必妥善规划,管理更要到位,才能落实「微笑单车、幸福城市」的设计初衷。
更多镜周刊报导【Ubike资安危机】Ubike全台大当机掀风暴 法院揪出资安大危机【Ubike资安危机1】车柱软体设计来自中国小公司 程式原始码竟用腾讯QQ传【Ubike资安危机3】当年靠键盘破箱尸命案 前名检另一身分竟是骇客杀手