台北Pay一上線就出包 未加密個資恐外洩

台北市政府智慧支付平台「pay.taipei」才剛啟用，就傳出APP存在資安風險，個資恐有外洩疑慮。台北市資訊局坦言，廠商設計時的確有疏失，已經緊急更新、修正，截至目前為止，沒有發現資料外洩情形。 號稱全國首創的市政繳費整合平台「pay.taipei」，6月25日由市長柯文哲親自宣布上線，與台新銀行、玉山銀行、Pi行動錢包、ezPay台灣支付、歐付寶、愛貝錢包、街口支付及橘子支付等8家支付業者合作。民眾使用電腦或手機，透過平台即可支付台北市的水費、停車費、聯合醫院看診等費用。 但有網友警告，「pay.taipei」的超文字傳輸協定為沒加密的「http」，而非經過加密的「https」，恐有個資外洩風險。台北市資訊局於6月27日發現資安風險後，要求設計平台廠商藍新科技立即修正，目前Android系統的智慧支付平台，已經改為加密版本，至於iOS系統要等蘋果公司核定，目前先行下架，預計還要等2至3天才會重新開放。 台北市資訊局表示，「pay.taipei」是作為支付業者及各機關的服務中介，本身不處理金流，使用者所輸入的資料僅用於身分確認，平台並不會儲存會員的個資，必須經特定技術人員，在特定的時間點、環境使用特定的工具，才有可能獲得有限、片面的資料。根據統計，「pay.taipei」上線2天以來，下載量約1,000人次，截至目前為止，並為發現個資外洩。 資訊局進一步指出，廠商的設計未能依招標規範規定，採用安全傳輸方式，而資訊局在系統上線時，也未能及早發現疏失，將會深自檢討。除重新修訂、強化相關SOP外，並嚴格要求廠商全面檢視程式的安全性，後續將根據合約對廠商進行罰款。