民進黨市議員陳怡君今質詢時指出,台北通存在啟人疑竇的資安漏洞,其內建的繳費功能,只要輸入水號便可查知他戶還剩多少欠費,但恐怖的是地址也跟著曝光。以她自己的服務處為例,輸入水號後顯示地址「*北市*同區*慶*路三段295巷6號一樓」,這樣的遮蔽形同虛設;更離譜的是,服務處流水號修改一個號碼,就可以亂窺視其他住戶近三年的用水狀況。
陳怡君憂心,因為近年正逢疫情期間,很多旅居國外的市民短則半年、長則一到兩年無法回國,若是被有心人士用來探查,住戶的隱私恐全都露。
陳怡君也提到,台北通的第一道漏洞,是無需進行任何驗證關卡便可進入查詢,以資安的角度不管再怎麼圖方便,至少也要做到初步驗證用戶的身份,而第二道漏洞是地址的去識別化只做半套,「哪有人地址打碼是打這樣的」,她直呼這樣的設計簡直不可思議,根本是「打開台北通,全民查水表」。
陳怡君說,不只水費的繳費功能有個資漏洞,停車費也存在類似的問題,只要輸入大街小巷任何一台車的車牌號碼,就可以知道車主有幾筆尚未繳納、金額款項是多少,甚至連停車的日期日間、幾點到幾點都通通曝光。
陳怡君痛批,市府廣推台北通APP,卻未善盡固守資安的責任,水費帳單在一般家戶信箱隨手可得,有心人士若意圖不軌,信手捻來便可得知該家戶近三年用水情況,以反推是否有住人,更嚴重的話要是落入詐騙集團手中,打電話告訴你「還有多少錢沒繳」以取得信任,進一步的後果恐不堪設想。
陳怡君要求,市府資訊局應儘速改善相關漏洞,除了在App必要處設置身份驗證關卡之外,個資的去識別化也應該更嚴謹,「越低級的錯誤會產生越大傷害」,此外也應該徹查其他App如悠遊付是否也有相同問題,還給市民一個安心的上網空間。
(民視新聞網/綜合報導)
更多新聞: 快新聞/美股開盤「道瓊一度漲逾300點」 高盛財報優於預期
