Hello△Taipei
台北市单一陈情系统Hello△Taipei周一遭市议员陈孋辉指出有漏洞,只要在待确认案件中利用重寄确认信,并修改程式码,就能看到陈情民众的个资、陈情内容,质疑该陈情系统成立以来,累积38多万笔陈情民众个资全都露。台北市政府资讯局回应收到漏洞资讯后已于当天修补,为强化资安防护已规划委托资安团队扩大渗透演练。
Hello△Taipei为北市资讯局委托睿扬资讯建置并负责维护管理,作为民众陈情的单一系统,该系统从2016年上线至今累积陈情案件已达38.6万件,为台北市重要的陈情系统。
市议员陈孋辉周一指出Hello△Taipei有重大漏洞,只要进入陈情系统的待确认案件页面后,再按右键检视网页程式码并稍作调整,之后回到陈情系统的确认案件页面按下重寄确认信,并输入非原本来信的电子信箱,再进入信箱点选来信确认回到陈情系统,就能看到完整的民众陈情内容,包括陈情者的姓名、电话等联络方式、陈情主题及详细内容。市议员的研究团队并公布示范视频。
议员批评北市府连同建置及维护合约,花费1900万元委托厂商维运Hello△Taipei竟存在漏洞,导致38.6万陈情民众个资可能外泄,该漏洞早在去年12月向资讯局提醒,当时资讯局回复全面检查改善,但至今却没有改善。依市府与委托厂商间的合约,厂商负有程式码测试、弱点修正的责任,若违反个资法可依约收取违约金或解除合约。市府也可能面临个资法合计最高求偿2亿元,恐让全民买单。
陈孋辉要求市府应立即修补漏洞,否则关闭系统以避免外泄民众个资,并向厂商收取违约金解除合约,同时也要检视所有网站是否有类似的资安问题。市长应出面道歉,惩处相关人员。
对此,台北市府资讯局在周三针对议员的批评发出回应,指该事件是以非正常操作行为绕过验证以取得民众陈情内容,需要一笔一笔逐一操作才能取得陈情内容,经过调查有38笔资料受到影响,市府将通知受影响民众提高警觉,周一当天已请厂商修补漏洞,并按程序进入入侵事件通报,保留日志以备日后法律程序调阅。
对于议员指去年12月已向北市资讯局提报漏洞,资讯局澄清议员去年提报的是另一个漏洞,已在去年修补完毕,此次陈情系统的重寄确认信机制为新漏洞,周一已修补。至于是否向厂商要求违约金一事尚在研议中。
资讯局表示,没有资讯系统可100%确认安全,市府各项系统均以弱点扫描并修补漏洞,这次新的漏洞为扫描工具无法检测出来,今年将规划导入红队演练、扩大渗透测试范围,委托资安团队对系统作深度检测。呼吁民众如发现系统漏洞可依正式管道向市府通报。
I 相关 / Other
台湾烟酒公司今年3月招考新进人员,本月23日放榜出现重大瑕疵,考生投诉,自己上午查成绩,加总后能够进入复试,未料系统突然关闭,下午再查发现进入复试成绩提高了,自己分数也变了,“上午上榜,下午却落榜&
Nvidia Tegra晶片遭爆漏洞,祸及任天堂Switch
专门破解任天堂(Nintendo)Switch游戏主机以执行自制软件的ReSwitched团队本周公布了名为Fusée△Gelée△的漏洞细节,这是藏匿在Switch主机核心Nvidia△Tegra? X1晶片中的安全漏洞,将允许骇客执行任意程式,且宣称
示意图,与新闻事件无关。 安全公司Net360 Labs上周发现架站软件Drupal的漏洞遭到感染Linux伺服器及物联网装置的僵尸网络攻击,散布挖矿程式或发动DDoS。研究人员4月中发现Drupal编号为CVE- 2018-7600的漏洞出现大
LinkedIn的AutoFill遭爆有漏洞,可能外泄用户资料
示意图,与新闻事件无关。 图片来源: LinkedIn 资安研究人员Jack△Cable在本月发现LinkedIn所开发的AutoFill外挂程式含有安全漏洞,将会曝露用户的个人资讯,而LinkedIn则已于本周修补完毕。由LinkedIn所开发的Aut
现实中之所以出现“6岁贷款”“8岁贷款”等怪象,既暴露出不少商业银行管理存在漏洞,也折射出金融及征信监管存在漏洞,而且这样的漏洞迟迟没有被堵上。征信管理漏洞暴露 近日,陕西肖先生查询银行征信记录时发现,自