台北市單一陳情系統Hello Taipei遭爆漏洞 - 台北

新聞連結出處:https://goo.gl/CSaSru


1.媒體來源:ithome新聞網

2.完整新聞標題:台北市單一陳情系統Hello Taipei遭爆漏洞，陳情民眾個資可被看光光

北市議員陳孋輝周一指出台北市單一陳情系統Hello Taipei存在漏洞，利用系統的重寄確
認信機制，稍加修改程式碼，就能瀏覽陳情內容及民眾的個資。

台北市單一陳情系統Hello Taipei周一遭市議員陳孋輝指出有漏洞，只要在待確認案件中
利用重寄確認信，並修改程式碼，就能看到陳情民眾的個資、陳情內容，質疑該陳情系統
成立以來，累積38多萬筆陳情民眾個資全都露。台北市政府資訊局回應收到漏洞資訊後已
於當天修補，為強化資安防護已規劃委託資安團隊擴大滲透測試。

Hello Taipei為北市資訊局委託叡揚資訊建置並負責維護管理，作為民眾陳情的單一系統
，該系統從105年上線至今累積陳情案件已達38.6萬件，為台北市重要的陳情系統。

市議員陳孋輝周一指出Hello Taipei有重大漏洞，只要進入陳情系統的待確認案件頁面後
，再按右鍵檢視網頁程式碼並稍作調整，之後回到陳情系統的確認案件頁面按下重寄確認
信，並輸入非原本來信的電子信箱，再進入信箱點選來信確認回到陳情系統，就能看到完
整的民眾陳情內容，包括陳情者的姓名、電話等聯絡方式、陳情主題及詳細內容。市議員
的研究團隊並公佈示範影片。

議員批評北市府連同建置及維護合約，花費1900萬元委託廠商維運Hello Taipei竟存在漏
洞，導致38.6萬陳情民眾個資可能外洩，該漏洞早在去年12月向資訊局提醒，當時資訊局
回覆全面檢查改善，但至今卻沒有改善。依市府與委託廠商間的合約，廠商負有程式碼測
試、弱點修正的責任，若違反個資法可依約收取違約金或解除合約。市府也可能面臨個資
法合計最高求償2億元，恐讓全民買單。

陳孋輝要求市府應立即修補漏洞，否則關閉系統以避免外洩民眾個資，並向廠商收取違約
金解除合約，同時也要檢視所有網站是否有類似的資安問題。市長應出面道歉，懲處相關
人員。

對此，台北市府資訊局在周三針對議員的批評發出回應，指該事件是以非正常操作行為繞
過驗證以取得民眾陳情內容，需要一筆一筆逐一操作才能取得陳情內容，經過調查有38筆
資料受到影響，市府將通知受影響民眾提高警覺，周一當天已請廠商修補漏洞，並按程序
進入入侵事件通報，保留日誌以備日後法律程序調閱。

對於議員指去年12月已向北市資訊局提報漏洞，資訊局澄清議員去年提報的是另一個漏洞
，已在去年修補完畢，此次陳情系統的重寄確認信機制為新漏洞，周一已修補。至於是否
向廠商要求違約金一事尚在研議中。

資訊局表示，沒有資訊系統可100%確認安全，市府各項系統均以弱點掃描並修補漏洞，這
次新的漏洞為掃描工具無法檢測出來，今年將規劃導入紅隊演練、擴大滲透測試範圍，委
託資安團隊對系統作深度檢測。呼籲民眾如發現系統漏洞可依正式管道向市府通報。

--