【戶籍所得資料全被看光光?】MyData 爆資安漏洞!自然人憑證簽章流程成駭客攻擊目標

(本文經合作夥伴 中央社 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈數位服務個人化平台試營運 戶籍勞保資料線上申請 〉;首圖來源:MyData 官網 截圖。)

【我們為什麼挑選這篇文章】國發會主導的「數位服務個人化平台」旨在提供民眾多元化個人資料下載及線上服務,簡化各項公務資料的申請成本。根據 AuthMe(數位身分股份有限公司)執行長 Andy Lee 的 FB 貼文 ,其團隊在對 MyData 平台進行串接測試時,意外發現 MyData 平台及戶政系統存在資安瑕疵,民眾的資料因此外洩了嗎?(責任編輯:賴佩萱)

為了推動個人資料自主運用,國發會打造數位服務個人化平台,7/29 正式上線,民眾可自由下載個人戶籍、勞保投保在內 31 項資料,並用於金融機構與政府部門提供的服務。

個人化平台簡化公務申請流程

為了方便民眾可自行下載並運用個人化資料,同時即時傳輸資料給第三方單位,用於申請相關服務,國家發展委員會建置數位服務個人化平台(https://mydata.nat.gov.tw),7/29 正式上線,並且試營運。

國發會副主委高仙桂表示,數位服務個人化平台不但可以簡化相關資料的申請流程,讓民眾更於便利取得自己的資料,此外,透過平台申請也將低對紙本資料的需求。

高仙桂進一步指出,目前政府單位、民間機構都有提供數位化服務,但缺少整合。透過數位服務個人化平台,把這些資料整合,在兼顧個資安全與隱私保護的前提之下,提供民眾多元化個人資料下載及線上介接服務。

了解個人資料運用動向,個資掌握在自己手中!

數位服務個人化平台提供 3 種不同服務模式,分別為「下載個人化資料」、「臨櫃核驗免紙本」、「線上服務申辦」。

高仙桂表示,目前民眾透過平台可自行下載的資料,包含個人戶籍、戶政國民身分證影像、地籍及實價、勞保投保、財產、個人所得、車駕籍等 31 項;申請下載資料除了取得數位檔案外,也會得到一組對應條碼,臨櫃辦理業務時只要將條碼交付臨櫃人員,就可透過系統對接,辦理後續服務。

編按:MyData 平台上線後,銀行及保險公司等金融機構能跨機關取得民眾透過自然人憑證授權存取的資料,大幅簡化了申請流程,然而這個過程卻成了駭客的攻擊目標。

據 FB 貼文 所述,這次 AuthMe 發現的瑕疵存在於平台檢核自然人憑證簽章的流程中;如果民眾操作過程中被惡意軟體偵測到簽章內容,駭客就能冒用民眾的身分,無限制存取 MyData 的各項資料。

所幸團隊迅速通報 唐鳳 政委,針對漏洞進行更進一步調查,並加緊討論相關配套方案,在 24 小時內完成漏洞修補作業並將 MyData 平台重新上線,重啟服務。

此外,下載資料的同時也能透過平台,在民眾同意授權的情形下,將這份資料傳送給其他機關辦理個人化服務。目前包含教育部、經濟部、金管會,以及桃園市、花蓮縣、雲林縣等地方政府,總計提供 40 項服務。

高仙桂表示,為保護個人隱私,平台不會存留民眾個人資料,民眾僅當次同意下載,非永久同意資料取用,且可於平台查詢個人資料使用紀錄,瞭解自己的個人資料運用流向。

(本文經合作夥伴 中央社 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈數位服務個人化平台試營運 戶籍勞保資料線上申請 〉;首圖來源:MyData 官網 截圖。)

你可能會有興趣


《TO》品牌活動「CONNECT」登場!

本周主打「Marketing Intelligence」專題,看企業如何激發數據無限錢力! 馬上報名 獲取最新深度報導。    

點關鍵字看更多相關文章: