預算 700 萬台幣的 pay.taipei 爆發資安災難：無 https 、明文傳密碼

對於新科技來說電子支付 (e-Payment) 絕對是一個大課題，也是各大科技公司的必爭之地。而各地政府都在研究更好的支付方式，例如於愛莎尼亞就可以網上支付大部份費用，挪威、丹麥亦開始試行「去現金」的計劃，能夠接受電子支付可以減省太多麻煩，自然受到歡迎，但也必須考慮到網絡安全性。

台灣最新的智慧支付平台 pay.taipei 在 6 月 28 上線，但極速下架，原因是他們犯了資訊安全不可以犯的錯誤！

台北政府支付平台沒使用 https 連線：這也太誇張了吧

作為一個預算 700 萬台幣去打造的線上支付平台，台灣政府推出的 pay.taipei 上線後極速被下架，原因是被 Gandi.net 亞洲區總經理 Thomas Kuiper 發現他們犯了一個線上支付平台／電商不可以犯的錯誤－他們的連線並沒有採用 https 加密協定，而是採用普通的 http。

也許大家不明白這有什麼影響，https 協定是利用 SSL 加密，令到資料能夠安全、完整的傳輸出去。簡單來說它的原理是在傳輸方利用金鑰加密，而接收方需要相應的金鑰解密，即使中間利用某些方式欄截資訊都無法得知內容，它的巧妙之處是涉及第三方認證：金鑰並非由傳輸方直接發出，而是需要憑證頒發機構（CA）發出數碼憑證，加強安全性。

這是電子商貿的基本要素，畢竟這涉及個人私隱、信用卡資訊等等的敏感資料。

明文傳輸密碼 截下資料不需要解碼

另一個他們犯下的資安錯誤就是利用明文傳輸 json ，他們並沒有把用戶的個人資料加密才傳輸出去，假設有人在中間截下了資料，完全省卻了解碼的程序，就可以把用戶的帳戶與密碼即時拿來使用，這也是相當不得了的一個錯誤。

在沒有設置保密的情況下，需要確認傳輸過程 100% 安全才不致洩密，這明顯的在現實社會不可行，換句話說這是相當危險的做法！

在今年 2 月的發佈會中，台北市政府提出 pay.taipei 結合多個不同的支付業者，當中包括玉山銀行、Game Pay 、歐付寶、台灣支付、愛貝錢包等等，在事件爆發之後立刻把 App 下架，而政府亦提到需要加強安全性方面。

政府有心打造支付平台是一件好事，但這亦是對資安人員的一個考驗，接下來台灣的 pay.taipei 會如何發展？我們的確需要多加留意。

引用來源：Facebook