從台北智慧支付平台資安事件,看台灣支付體系的資安監管大漏洞

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但資安的漏洞卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。
評論
評論

本文由讀者「試金石」投稿,INSIDE 編審後刊登。

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但 資安的漏洞 卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。

台北智慧支付平台的標案有兩大部分

據了解,這個平台分為兩階段執行。第一階段系統標,第二階度支付標。

第一階段是藍新科技以七百多萬標得這個標案,負責建置相關系統。有人說,一個支付系統,只花七百萬?政府太摳門了吧!

只有七百萬,沒有人能夠做出一個支付系統,真正的關鍵卻沒有人去了解。其實,這個系統的主體是後端的整合資料庫,跟相關 API 的資訊整合。換句話說,它根本不是個 Pay!它是個只是個查詢平台。

而第二階段,由支付業者投標,得標者才能進入平台。業者私下抱怨,代收一張停車單,只能賺 0.04 元的代收費用,如果透過超商繳費,超商卻可以賺將近四塊錢的代收費用,支付業者為了進入平台,利潤微薄也只能咬牙苦撐,算一算甚至量不大的話根本是賠錢。這個階段的得標業者有:玉山銀行、台新銀行、愛貝錢包、Pi 行動錢包、街口支付、歐付寶、橘子支、台灣支付。

所以,七百萬去做一個這樣的平台貴不貴?代收一張停車單只能賺 0.04 元好不好賺?公道自在人心!

台北市能,中央政府卻不能?

大家可以看一下, 全國繳費網 是由誰建立的?然而這些繳費的管道是哪些?再來看看台北市的智慧支付平台,繳費的管道是哪些?

前者,全都是銀行!後者,第三方支付業者居多!

也就是說,台北市政府在支付這端,選擇了一個可以跟上嗡嗡嗡市長進度,可以跟隨市場競爭而變動的新興行業。這也符合他的個性。

而這件事情,台北市花了一年搞定,台灣要花多久時間?我們來看看,到現在連財金公司的台灣 Pay 已經上線兩年了,都還在氣喘吁吁的跟進、整合式的 QR CODE 只聞樓梯響。

這其實是為什麼嗡嗡嗡市長在記者會上面說,如果台北市成功了,中央可以整套拿去用。

中央政府逼台北智慧支付平台做自己的政績

再看另一個引發民眾抱怨的重點是:為什麼使用一個 App 要用另一個 App 來驗證?

要使用智慧支付平台的 App,卻要下載「群信行動數位科技」的「我的號碼」這個電信身分驗證?

原來,這就是當時典禮儀式上,那大拉拉的亞洲・矽谷四個大字之下的產物,「我的號碼」第一次對外大規模使用。

既然是一個支付的中介平台,為什麼要使用這樣的機制呢?

支付的本質,不管是誰幫誰繳費,政府只要收到費用,不就好了嗎?為何要增加這個認證呢?是未來發展的考量?還是幫亞洲・矽谷做政績?

藍新科技難辭其咎,更提醒該檢視電子支付與第三方支付廠商的資安專業度

回頭來看,這次得標的系統建置商藍新科技,除了是老字號的第三方支付紅綠藍三家(紅陽、綠界、藍新)之一以外,更是台灣第一批獲得電子支付執照許可的專營電子支付機構。後續獲得威盛旗下的全達(8086)以七億的資金購買藍新過半股份。

理論上而言,應當藍新本質上就有開發的資安知識與能力,才能獲得專營執照吧?但此次的開發案中,連一個最小的 SSL 憑證都沒加密,就交付北市府使用。這樣低落的資訊安全專業,難道不該了解一下嗎?

三不管地帶的支付安全,到底由誰來把關?

智慧支付平台結合了金流、資訊流,包含了銀行、第三方支付、電子支付業者。

第三方支付業者目前一定是透過信用卡進行交易,這不也是金管會管轄的範圍?電子支付機構的主管機關是金管會,銀行的主管機關也是金管會,通通都是金管會管的。

難道沒有人納悶,在大家討論台北智慧支付平台資安事件的此時,我們卻完全看不到金管會跳出來呢?是當作沒自己的事?還是不知道怎麼處理這件事?

李主委,你在立法院回答質詢的時候說,連 ATM 轉帳都算電子支付了,智慧支付更是電子支付的一部分,現在有問題,你不出來管管嗎?


開發應用趨勢 X 產業轉型策略:DevDays Asia 2021 亞太技術年會報名開跑!

DevDays Asia 2021 Online 亞太技術年會活動即日起開放報名,7 月 25 日前報名即可參加早鳥抽獎活動,8 月 11~13 日準時上線參與更有機會獲得Gogoro VIVA Lite、Xbox Series X 等豐富大獎。
評論
評論

面對疫後變化莫測的商業局勢,如何透過開發者的力量增強企業韌性、保持競爭優勢是勝出的關鍵策略。為賦能台灣開發者,引發企業轉型與創新動能,由經濟部指導,經濟部工業局、台灣微軟、iThome 共同主辦的「DevDays Asia 2021 Online 亞太技術年會」邁入第六屆,今年將於 8月 11 日(三)至 8 月 13 日(五)以「賦能創新.疾速突圍」為題,線上盛大登場。豐富議程包含線上論壇、實作坊、社群活動、以及國際與在地實際案例展示,匯集全球技術資源,協助開發者透過科技力量共同型塑疫後新未來,向世界展現台灣的創新能量。

過去一年全球各產業面臨各種挑戰,無論是疫情的衝擊、經貿環境的變化等,促使企業加速數位轉型的進程。在導入雲端、AI 等技術之中,開發者成為企業數位轉型的關鍵,更是承擔企業成功數位轉型、突破困境的重責。各領域與產業的技術人才需求皆有顯著提升,顯示開發者的力量已成為企業決策與建立韌性的重要一環。台灣微軟致力提供完善的開發平台,不僅分享全球豐沛的研發能量予在地人才,更結合理論與實務,以在地產業案例展現應用面向,期望藉技術年會賦能台灣產業創新發展,迎向疫後新未來。

關鍵 9 大主軸技術演講:勾勒創新科技想像,探索量子運算無限潛力

為期三天的「DevDays Asia 2021 Online 亞太技術年會」,特別邀請微軟全球副總裁 Charles Lamanna、微軟亞洲 Teams 資深工程總監 Dan Stevenson、微軟全球人工智慧業務開發總監 Matt Sinclair、微軟大中華區全球合作夥伴解決方案事業群首席技術長 徐明強博士、微軟 Teams Platform 產品行銷總監 Daniel Canning 等重量級講師進行主題演講,分享建立高生產力的未來工作模式、資安、工業物聯網價值鏈等主題,全方位幫助開發者即時掌握前瞻科技趨勢。

看好量子技術強大運算力將為資安、產業、金融與國防等領域帶來突破性發展,微軟首席架構師 Ujjwal Kumar 將以「量子運算」精彩開場,分享微軟於量子運算技術上的更新與應用情境,帶領開發者一同探索潛力無窮的量子運算領域。

此外,今年年會將聚焦於「實現創新應用開發」與「加速強化企業韌性」的 9 大關鍵議題:

  • 大數據與人工智慧(Data & AI):AI 已然成為驅動產業前進的原動力,企業也逐漸擁抱整合數據平台,微軟推出六大 Applied AI Services 產業應用場景,協助企業將 AI 落地,並透過雲端現代化資料倉儲與分析中台、數據治理與安全、資料為先的混合雲應用,協助企業在面對日趨增加的數據資產強勁轉型需求中,建立疫後時代的企業韌性。
  • 雲原生應用(Cloud Native):以微軟最新發表內容的開發者工具如 Visual Studio、GitHub,介紹智慧雲原生應用程式包含 Cloud Native App、Micro Services 等,助企業可隨環境動盪迅速反應、敏捷開發,提升 IT 即戰力。
  • 開源技術(Open Source):掌握開源將助企業洞燭市場先機,而開源發展與社群關係更是環環相扣,年會將邀請多位開源社群一同擔任協辦單位,包括軟體人才培訓學校(Build School)、台灣雲原生使用者社群(Cloud Native Taiwan User Group)、DevOps 台灣社群(DevOps Taiwan community)、STUDY4、Taiwan Java community、台灣 PostgreSQL 使用者社群(Taiwan PostgreSQL User Group)等單位,分享自身經驗,提供第一線開發者的獨到見解。
  • 開發與維運(DevOps):為實踐 DevOps 理念與架構,快速依需求更迭軟體產品與功能,年會中將以 Azure DevOps 解決方案展示更快速、方便的應用程式開發。
  • 商務流程優化(Business Process):展現如何使用 Microsoft Cloud 建構差異化的 SaaS 應用程式,極大化發揮雲端工具綜效,建構新一代為企業量身打造的解決方案,解決企業營運困境。
  • 混合式工作模式(Hybrid Work):面對後疫情時代,開發者將可運用 Microsoft Teams 輕鬆協作溝通、簡化工作流程,以一站式生產力平台整合多元企業所需功能,迎向智慧工作時代。
  • 產業情境應用解決方案(Industry Solution):微軟長期與台灣產業建立深厚合作關係,更將在年會中力邀製造、醫療、金融等產業合作夥伴,深度剖析產業實例,助開發者結合理論與市場經驗,解決產業切身痛點。
  • 物聯網應用(IoT):以日趨成熟的 IoT 技術加乘 AR 與 VR 的虛實整合概念,向開發者展示未來的智慧工廠價值鏈。
  • 資安新思維(Security):全球遠距辦公需求劇增,駭客攻擊比率大幅增加,企業急需建立零信任文化與部署全面資安防禦系統。透過微軟 Microsoft XDR、Azure AD、Azure Defender、Azure Sentinel 等解決方案,開發者將更能幫助企業避免網路威脅、守護寶貴的數據資產。

呼應疫情下各企業對遠端實作與數據分析的需求激增,此次年會中也專門設立實作坊,藉由線上與講師零距離互動與即時問答,手把手教學如何使用 Microsoft Teams 進行遠距工作,並善用 Power BI 分析數據、發現洞察,滿足開發者對於持續深化技術以及實戰經驗累積的熱切期待。

「DevDays Asia 2021 Online 亞太技術年會」預計將再次創下參加人數新高,吸引數千人次線上參與,促進台灣技術人才接軌國際,培養開發者技術實力,共同構築更完整的開發生態系。活動即日起開放報名

7 月 25 日前報名即可參加早鳥抽獎活動,8 月 11~13 日準時上線參與更有機會獲得包括 Gogoro VIVA Lite、Xbox Series X、Surface Go 2 等豐富大獎;欲了解更多,或報名參加亞洲區域旗艦技術社群年度交流的盛會,請參考官方網站

本文章內容由「台灣微軟」提供,經關鍵評論網媒體集團廣編企劃編審。