台北市政府于2017 年6 月25 日正式推出的pay.taipei 支付平台,能够整合台北市政府规费的缴纳作业,民众可以透过pay.taipei 缴纳停车费、自来水费、联合医院等费用。不过在pay.taipei 风光上线之后,却因爆出资安问题,而进行紧急应变处理,并导致App 将会暂停服务2 至3 天。
未使用HTTPS 加密
在台北市政府发出的新闻稿中提到:
台北市政府智能支付平台「pay.taipei」今(25)日正式上线服务,民众可下载
「pay.taipei」行动App 或上网站一键缴纳水费、停车费及联合医院医疗费用,
推出首波也结合支付业者各项优惠,吸引民众加入哔经济的智能行动生活。
可以见得pay.taipei 是款便民新措施,但是如果这类牵涉到个人数据与金钱支付相关的服务出现资安漏洞,那么后果可就会相当严重了。
在pay.taipei服务上线之后,域名注册商GANDI.net的亚洲区总经理Thomas Kuiper就在 Facebook 上贴文指出,pay.taipei并未使用HTTPS加密技术,并使用固定IP传送数据。
这样一来,会让使用者的机敏数据曝露于高度风险之下,让有心人士可以轻易窃取、侧录帐号、密码等数据,甚至可以透过中间人攻击(Man-in-the-middle attack, MITM )的方式,篡改传输的数据内容,让使用者可能会遭到个资外流、盗刷等情况。
对于此事,台北市政府资讯局也于6月27日晚间9点21分提出说明,指出当日下午2点就发现pay.taipei的App「背景数据未采用较安全的方式传输」,并于下午4点改善完毕,网站服务会在27日完成更新重新上线,而App需暂停服务2至3日才会再度上线。
资讯局也坦诚,厂商的设计未能依招标规范规定采用安全的传输方式,而资讯局在系统上线时,也未能及早发现其疏失。
▲ pay.taipei 是台北市政府推出的智能支付平台,能够缴纳停车费、自来水费、联合医院等费用。
Thomas Kuiper于个人Facebook上贴文指出pay.t赢咖4pei的资安漏洞。
▲ pay.taipei在传输过程中并未使用HTTPS 加密技术保护数据。
SSL或TLS加密保护数据安全
HTTPS 的全名为Hypertext Transfer Protocol Secure(超文字传输安全协定),与一般HTTP协定最大的差别,在于会在传输过程中为数据加密,以防止数据被侧录、监听,或是遭到中间人攻击。
HTTPS连线会透使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)等加密技术,以非对称加密方式为传输的数据进行加密,这时候只有服务器与使用者双方能够解读彼此传送的数据,就算攻击者在在中途将数据拦截下来,也无法解读被密码保护的数据,如果要篡改数据的话,也会因为无法将篡改的数据加上密码而不能得逞,因此能够保障数据传输的安全。
从资讯安全的角度来看,这个过失算是个低级失误,不过除了台北市政府之外,Sony之前也曾发生类似的过失,在2011年时,旗下电玩网络服务平台PlayStation Network,也发生了储存使用者数据时未经加密的事件,导致会员数据外泄后,攻击者不需破解密码就能直接看到数据。
回到pay.taipei 事件,Thomas Kuiper也在Facebook表示pay.taipei除了有资安问题外,还有着世界上最丑的标志,并且在服务上线时藉由一群Show Girl造势,难道就没有一些关于pay .taipei的好消息吗?看来在他眼中,严谨的资安规范比Show Girl更重要。
▲ Thomas Kuiper也不禁对pay.taipei发出吐嘈。