離開
進入北市陳情系統 議員爆:個資未加密
台北市議員謝維洲(圖左)與資訊主秘陳敏慧對質,單一陳情系統廠商是否違約。(記者郭安家攝)
〔記者郭安家/台北報導〕台北市長柯文哲動支1025萬元第二預備金,今年1月推「Hello Taipei單一陳情系統」,柯還說「投訴總統都可以處理啦!」6萬筆使用者用該系統,未料,台北市議員謝維洲今開記者會指出,資安團隊發現,APP前端傳輸陳情內容、個資,竟未將Android 使用者加密,計有3700人個資暴露風險、恐遭駭,7月2日廠商才修正,但資訊局未依合約懲罰。
謝維洲發現,該廠商叡揚資訊股份有限公司不僅標下「單一陳情系統」,還承攬i-voting、北市府公文交換系統標案;其中「單一陳情系統」合約載明,廠商交付之軟體應先檢查隱密通道。
面對謝維洲頻質疑廠商已違約,資訊局系統發展組決策支援股長陳崴逸指出,目前未造成個資直接洩露、未接獲「被駭」者;如有民眾個資被侵犯,依合約所規範「致機關遭受損害者」,資訊局將會處理。
陳崴逸強調,使用者只會在該系統傳輸姓名、陳情方式、以E-mail為主的聯絡方式,不儲存身分證字號;但坦言,APP前端未用安全加密的傳輸方式,會釀資安風險,若有心人士在特定環境及技術下,惡意破解,可擷取使用者資料。
為何APP前端未加密?陳崴逸解釋,當初有要求廠商資訊加密,並由資訊局幫忙向中央申請政府GCA政府憑證,但送至Google審查不過,原因不知,當時廠商希望透過技術修改程式框架,並表示GCA憑證已處理完畢;系統去年11月2日上線,但今年7月2日資訊局發現有問題,緊急要求廠商使用商業憑證、再上架。
資訊局主任秘書陳敏慧則於記者會強調,地方政府fallow(跟著)中央的GCA憑證,他們只能跟中央討論,看哪裡有狀況;但謝維洲酸說,聽起來「只要柯文哲出包,蔡英文就要負責。」
