從台北智慧支付平台資安事件,看台灣支付體系的資安監管大漏洞

評論
評論

本文由讀者「試金石」投稿,INSIDE 編審後刊登。

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但 資安的漏洞 卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。

台北智慧支付平台的標案有兩大部分

據了解,這個平台分為兩階段執行。第一階段系統標,第二階度支付標。

第一階段是藍新科技以七百多萬標得這個標案,負責建置相關系統。有人說,一個支付系統,只花七百萬?政府太摳門了吧!

只有七百萬,沒有人能夠做出一個支付系統,真正的關鍵卻沒有人去了解。其實,這個系統的主體是後端的整合資料庫,跟相關 API 的資訊整合。換句話說,它根本不是個 Pay!它是個只是個查詢平台。

而第二階段,由支付業者投標,得標者才能進入平台。業者私下抱怨,代收一張停車單,只能賺 0.04 元的代收費用,如果透過超商繳費,超商卻可以賺將近四塊錢的代收費用,支付業者為了進入平台,利潤微薄也只能咬牙苦撐,算一算甚至量不大的話根本是賠錢。這個階段的得標業者有:玉山銀行、台新銀行、愛貝錢包、Pi 行動錢包、街口支付、歐付寶、橘子支、台灣支付。

所以,七百萬去做一個這樣的平台貴不貴?代收一張停車單只能賺 0.04 元好不好賺?公道自在人心!

台北市能,中央政府卻不能?

大家可以看一下, 全國繳費網 是由誰建立的?然而這些繳費的管道是哪些?再來看看台北市的智慧支付平台,繳費的管道是哪些?

前者,全都是銀行!後者,第三方支付業者居多!

也就是說,台北市政府在支付這端,選擇了一個可以跟上嗡嗡嗡市長進度,可以跟隨市場競爭而變動的新興行業。這也符合他的個性。

而這件事情,台北市花了一年搞定,台灣要花多久時間?我們來看看,到現在連財金公司的台灣 Pay 已經上線兩年了,都還在氣喘吁吁的跟進、整合式的 QR CODE 只聞樓梯響。

這其實是為什麼嗡嗡嗡市長在記者會上面說,如果台北市成功了,中央可以整套拿去用。

中央政府逼台北智慧支付平台做自己的政績

再看另一個引發民眾抱怨的重點是:為什麼使用一個 App 要用另一個 App 來驗證?

要使用智慧支付平台的 App,卻要下載「群信行動數位科技」的「我的號碼」這個電信身分驗證?

原來,這就是當時典禮儀式上,那大拉拉的亞洲・矽谷四個大字之下的產物,「我的號碼」第一次對外大規模使用。

既然是一個支付的中介平台,為什麼要使用這樣的機制呢?

支付的本質,不管是誰幫誰繳費,政府只要收到費用,不就好了嗎?為何要增加這個認證呢?是未來發展的考量?還是幫亞洲・矽谷做政績?

藍新科技難辭其咎,更提醒該檢視電子支付與第三方支付廠商的資安專業度

回頭來看,這次得標的系統建置商藍新科技,除了是老字號的第三方支付紅綠藍三家(紅陽、綠界、藍新)之一以外,更是台灣第一批獲得電子支付執照許可的專營電子支付機構。後續獲得威盛旗下的全達(8086)以七億的資金購買藍新過半股份。

理論上而言,應當藍新本質上就有開發的資安知識與能力,才能獲得專營執照吧?但此次的開發案中,連一個最小的 SSL 憑證都沒加密,就交付北市府使用。這樣低落的資訊安全專業,難道不該了解一下嗎?

三不管地帶的支付安全,到底由誰來把關?

智慧支付平台結合了金流、資訊流,包含了銀行、第三方支付、電子支付業者。

第三方支付業者目前一定是透過信用卡進行交易,這不也是金管會管轄的範圍?電子支付機構的主管機關是金管會,銀行的主管機關也是金管會,通通都是金管會管的。

難道沒有人納悶,在大家討論台北智慧支付平台資安事件的此時,我們卻完全看不到金管會跳出來呢?是當作沒自己的事?還是不知道怎麼處理這件事?

李主委,你在立法院回答質詢的時候說,連 ATM 轉帳都算電子支付了,智慧支付更是電子支付的一部分,現在有問題,你不出來管管嗎?


精選熱門好工作

Machine Learning Engineer (Visual Creativity)

PicCollage 拼貼趣
臺北市.台灣

獎勵 NT$20,000

Data Analyst / Data Scientist

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$20,000

PopDaily APP開發工程師 –【工程部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$20,000

評論