三立新聞網為了提供更好的閱讀內容,我們使用相關網站技術來改善使用者體驗,也尊重用戶的隱私權,特別提出聲明。
了解最新隱私權聲明 知道了

獨/恐有幽靈紀錄?網友竟抓到北市實聯制myCode漏洞

  • A-
  • A
  • A+

記者劉懿萱/台北報導

武漢肺炎疫情升溫,為因應中央疫情指揮中心規定,各地政府紛紛設置實聯(名)制措施。台北市府去年推出myCode,讓民眾出入台北市各場館時能快速通關。不料有網友在臉書發文批評,myCode設計有漏洞,不只可以全自動註冊、若手機外流恐導致既有的QR Code 失效,甚至只要知道某場館的 QR Code,任何人都可以製造該場館虛假的進出場紀錄。對此,北市資訊局表示,當初建立myCode,由民眾自行填寫基本資訊以提供疫調聯絡,是為了在方便及安全上找出平衡點。

▲為因應中央疫情指揮中心規定,各地政府紛紛設置實聯(名)制措施。(圖/北市府提供)

各地政府為因應中央疫情指揮中心規定,各大場館紛紛設置實名制QRcode,讓民眾自己登上google表單自己填寫個資。不料發生權限控管出問題,導致個資外洩。因此台北市府去年推出myCode,讓民眾透過線上註冊獲得 QR Code的方式快速通關台北市各場館。然而有網友在臉書上表示,看了myCode設計「真不得了」。該網友認為,驗證碼的生成有問題,由於驗證碼生成在客戶端,導致寫個程式語言注入,就能幫你自動填寫。此外API 完全不驗證,可以全自動註冊。

▲記者實測用同一支手機號碼,不同的名字申請myCode,卻還能成功申請QR Code。

該網友指出,甚至用同一個手機號碼,再去用假資料申請一次,前一次的註冊會自動被清除。記者實測用同一支手機號碼,不同的名字申請myCode,卻還能成功申請QR Code。該網友表示,因此只要知道某人的手機號碼,搭配 API 可以強制把他實聯制登記的名字改掉,或讓他既有的QR Code 失效,即便他不點選簡訊的連結,註冊一樣已經完成,只是拿不到 QR Code。

該網友從台北市政府公開文件,取得工作人員的操作手冊,質疑myCode App 不需要帳號密碼登入,只需要掃描場館的 QR Code,掃瞄完之後即可掃入場。若場館的 QR Code 外流,任何人都可以製造該場館的虛假的進出場紀錄,導致不必要的隔離或恐慌。另外, myCode App 也接受手動輸入資訊,所以只要知道名字與身分證字號即可讓人「被參觀」展覽。甚至直接開個傀儡程式,就能不斷製造幽靈進出紀錄。

▲北市府推出myCode,讓民眾透過線上註冊獲得 QR Code以快速通關台北市各場館。(圖/北市提供)

對此,記者致電北市資訊局長呂新科,他強調,當初提供的台北隨行碼申請措施,考量民眾申辦的複雜的驗證程序,與手機驗證碼為基礎的簡易認證方式,在評估便利性與風險平衡後所做得決定。

呂新科表示,myCode是為了取代 ,google 表單及手填資料誤繕的問題。防止疫調時無法正確聯絡到民眾,故台北隨行碼採民眾自主輸入姓名及手機,透過回傳簡訊的方式提供入場可用的 QR Code。經由簡訊回傳至少能確認該手機號碼為有效,可供後續疫調聯絡之用。 

呂新科指出,為了方便場館工作人員作業,故採掃瞄場館識別 QR Code 登入後執勤, 場館人員須妥善保管該 QR Code。由於民眾所反映,1月29日將公布進階版 myCode+ (myCode plus),會再多加一道認證碼,來解決疑慮。另外, 呂新科也澄清這項專案並非網友傳出對外招標,而是內部團隊開發。

愛不愛栗絲 EP11重播 LIVE
大數據推薦
熱門人物
熱銷商品
讀者留言
直播✦活動