Search
🔩五倍券又爆遭冒綁,政府資安螺絲掉滿地
還記得9月22日上午,中秋連假後的第一天,因各數位支付加碼優惠及好食券皆為限量,全民瘋搶數位五倍券綁定。
沒想到,系統根本扛不住瞬間湧入的流量導致網站當機,有人搶了一整天還是沒搞定;還有網友發現綁定郵局Taiwan Pay時,只要按一鍵「F12」就能查OTP驗證碼,顯見台灣公家機關的網站有漏洞。近日更有人在社群網站社團爆料,自己想預訂紙本時,才驚覺已遭他人數位綁定冒用,而且看來恐不只這一例👀
虹安長期以來,一直關心政府資安議題,我必須對此提出質疑:五倍券線上系統建置花費了九億公帑,到底花到哪去了?行政院推動數位化的立意良善,但在政策與相關服務上線時,資訊安全卻沒跟上,造成人民利益受損,這是哪門子的「有政府,會做事」?
別忘了,之前內政部一意孤行欲強推數位身分證,當時政府也是掛保證不會有洩露個資疑慮,事後證明,當時社會各界與資安專家的質疑有所本!
上週五教育部也爆發委外團隊誤刪高中生學習歷程檔案之離譜情事,這已不是單一事件,很明顯行政部門的資安與網站管理螺絲不只是鬆了,根本是掉滿地,需要做通盤檢討與反省🤦🤦
【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
不知道大家登記五倍券了嗎?
我個人是綁定icash,因為我比較常用這個卡來消費,包括加油~
我父母就是登記紙本,主要是他們的券可能也是我們幫他們拿去買他們要的東西或是家常用品,所以我選擇幫他們領紙本。
今天是紙本預約登記的第一天,可以選擇郵局或超商領取。我是選擇超商,原本一早出門要去超商領貨,就想說順便預約,但機器有管制使用時間,前一名又是預約全家大小的,所以等滿久的。
如果有下載健保快易通的朋友,不妨使用健保快易通來預約會比較快~~
步驟就是:
1.先上振興五倍券的網站,選擇紙本五倍券,有三種方式,其中兩種要準備讀卡機,一種是要有健保快易通的APP
2.打開健保快易通APP,查詢OTP認證碼
3.在振興五倍券的網站,選擇"健保快易通APP"
4.輸入身份證字號、OTP認證碼及驗證碼
5.進入預約畫面,填寫資料及要領取紙本券的超商,然後送出即可。
如果家裡有讀卡機,或者已經有安裝健保快易通的朋友,其實在家就可以預約了,不需要去超商排隊(雖然我是沒看到排隊人潮啦!但系統有管制使用時間,前面的客人要是預約全家大小,你可能就要等半小時以上了)
振興五倍券網站:
贊助專區
Paypal傳送門: https://paypal.me/HsuehHeng
綠界傳送門: https://p.ecpay.com.tw/706363D
歐付寶傳送門: https://reurl.cc/eENAEm
由於受到黃暐瀚感召,本人宣布今天成為第一屆向綠畜道歉天下第一武道會!坦白從寬抗拒從嚴!大家都該向綠畜道歉! ft.資深媒體人老瀚
由於每次道歉我都晚 #黃暐瀚 一個火車頭,因此這次學到教訓,立刻在第一時間跟在黃暐瀚屁股後面對各行各業,世界各地的綠畜道歉!而且我還非常有誠意的做了圖版,圖文並茂的道歉!是不是很有誠意,各位綠畜都應該把我當好朋友才對!
這幾天又到了五倍券大逃殺遊戲的時間了,根據中時電子報的報導:【民眾綁定 #數位五倍券 亂象一籮筐,今早開放搶名額時,官方網頁一度大當機,不少人在台灣Pay綁郵局VISA卡時,被卡的特別嚴重,收到OTP驗證碼的時候,都已超過時效4分鐘,更扯的是有網友發現按一鍵「F12」就能查OTP驗證碼,無奈說「是在心酸的嗎?」。】由我們的資安天才外包關貿網路 #IT大臣唐鳳 親自主演廣告,扮演唐鳳獸大力推薦的五倍券果然如同我所預料的一樣又當機了,但是不只當機,還有資安問題,還有莫名的已經綁定又被取消的問題,根據聯合報的另外一篇報導:【振興五倍券不只官網與各金融業者流量太大、頻寬被塞爆,藝fun券在「共同綁定」上更是出了「流程上的bug」,讓參加共同綁定的民眾湧入行政院政委唐鳳臉書粉絲團,詢問「該怎麼辦」,今更傳出民眾綁定台灣Pay,回饋全部被消失。資訊業界專家表示,會出這麽多錯誤,極有可能是最後測試根本不完整,甚至來不及測試就上線,造成「全民公測」的亂象。到唐鳳臉書上反應問題的網友表示,共同綁定後,要進行預約抽籤登記,但只要共同綁定的成員中,有兩個人以上都登記了藝fun券,最後查詢登記結果,就會發現只剩下一個人有登記到,其他共同戶則「被洗掉」,等於沒登記到抽藝fun券。】
時中你真調皮,你看看你又來了,根據中國時報的報導:【立委賴香伶今(22)日在立法院表示,當初東洋要採購BNT,政府是否因意識形態而錯失機會, #陳時中 則反嗆,東洋採購BNT是談判沒有成功,現在當然可以說要買3千萬劑BNT,但去年9月BNT才進入第二期準備第三期試驗,「當時誰敢說敢買?」強調政府絕對沒有意識形態或阻止。對於陳時中稱BNT去年沒人敢買,有網友在《PTT》翻出2020年8月12日的媒體報導指出,2020年7月29日,英國宣布向BNT預訂3000萬劑,2020年7月31日,包括美國宣布向BNT預訂1億劑,日本宣布購買1.2億劑,歐盟也宣布購買2億劑,2020年8月上旬,加拿大與已BNT簽約2000萬劑,質疑陳時中為何一直在說謊?】但是時中,台灣的高端你連二期都沒做完,也是買了ㄟ,這種雙重標準是怎麼搞得啊?而且全世界早搶是種冒險,你連世界都有穩定疫苗的晚搶也要冒險,這科學標準是甚麼?又根據TVBS的報導:【無黨籍立委高金素梅質詢,政府宣稱買了很多疫苗,但實際上台灣卻一直處於缺疫苗的狀態,尤其是青壯年人口,很多人第一劑都還沒打到,想打仍遙遙無期。蘇貞昌回應,「蔡總統說自己從未欠錢趕3點半,只有對催疫苗很用力,『用盡了命在催』」。】老瀚是不是明白甚麼叫做用盡了命在催,現在還有剩嗎?我是真的聽不懂啦,啊沒到就沒到啊。
另外又有針對 #高端 份子的麻煩了,根據蘋果新聞網的報導,【白宮已宣布將於11月初解除針對歐盟、英國、中國和印度等33國旅客的旅遊限制,但所有外籍旅客須完整接種疫苗才得以入境;目前完整認可名單尚未公布,而美官方目前雖只核准莫德納、BNT、嬌生等3款疫苗,但也已宣布將認可世界衛生組織(WHO)已認可的疫苗,例如AZ、中國製的科興與國藥等疫苗。對此,衛福部長陳時中今在立法院備詢時表示,美國目前規定,完整接種的定義是施打完兩劑疫苗,至於混打、AZ或高端疫苗是否會被承認,「都需要去溝通」。】但台灣現在覺得高端美國接受機會很高的原因是因為實驗數據好嗎?可是美國已經說了不接受免疫橋接的做法,還是說跟阿亮講的一樣,是因為入境美國人數的原因來認可疫苗嗎?那麼美國會認同台灣這七十幾萬人的入境權力,只因為台美關係友好嗎?可以談喔?
另外,法廣引述彭博社:台灣已經提交了加入《跨太平洋夥伴關係全面進步協定》(CPTPP)的申請,而就在幾天前,中國也發出了自己的申請,希望成為該協定的成員,該協定曾被美國推崇為孤立北京和鞏固美國在該地區主導地位的方式。但是這在金融時報報導日本抱怨台灣不積極加入cptpp後幾天就申請了,這到底是巧合還是必然?
另外,今天黃暐瀚除了向綠畜道歉之外,也還撥空訪問了台中罷免進度,根據yahoo的報導,【台灣基進黨中市立委 #陳柏惟罷免案 將在下月23日舉行投票、倒數僅剩1個月,資深媒體人黃暐瀚今(23)早專訪國民黨前立委顏寬恒為何近日才表態刪Q?顏除提出3大理由:辜負鄉親、忘記初衷、不買疫苗外,也透露陳日前嗆志工為何要罷免他這件事,讓他堅定罷陳決心!】台中這邊的狀況到底是怎麼一回事呢?
朱學恒的表情包2.0上線拉 https://store.line.me/stickershop/product/16645010
【Facebook傳送門】 https://www.facebook.com/Geekfirm
【Twitch傳送門】 https://www.twitch.tv/otakuarmy2
【加入YT會員按鈕】 https://reurl.cc/raleRb
【訂閱YT頻道按鈕】 https://reurl.cc/Q3k0g9
購買朱大衣服傳送門: https://shop.lucifer.tw/
📍直播大綱:
00:00 開播
17:00 向綠畜道歉
43:00 數位五倍券亂象叢生
01:08:00 陳時中稱去年沒人敢買BNT
01:20:00 蘇貞昌:蔡總統說自己從未欠錢趕3點半 只有對催疫苗很用力 『用盡了命在催』
01:40:00 打高端到底能不能去美國?
01:51:00 CPTPP
124分 罷免陳柏惟案
許多民眾22日使用台灣Pay綁定中華郵政VISA卡,卻苦等不到OTP。對此,有網友在PTT八卦版發文指出,當時他等不到驗證碼,隨手按下F12檢視原始碼, ... ... <看更多>
本人非常少網購,很大一部分的原因就是這個OTP密碼。我經常因為這個被鎖,這次是沒收到簡訊被鎖,一般沒收到簡訊正常反應是重新寄送吧? ... <看更多>
otp驗證 在 [討論] 網銀OTP驗證的安全性- 看板Bank_Service - 批踢踢實業坊 的推薦與評價