政治
2020.09.29 05:58

【Ubike資安危機】Ubike全台大當機掀風暴 法院揪出資安大危機

文|林俊宏    攝影|賴一銀 鄒保祥
YouBike在4年前大當機,業者懷疑是自家工程師搞鬼,提告後不但敗訴,還被法官發現疏失,批評資安管理警覺度不足。
YouBike在4年前大當機,業者懷疑是自家工程師搞鬼,提告後不但敗訴,還被法官發現疏失,批評資安管理警覺度不足。

4年前,全台6縣市共2.2萬輛YouBike發生大當機,系統商微程式公司懷疑是自家廖姓工程師搞的鬼,因而向警方報案,台中地檢署調查後依妨害電腦使用罪將他起訴,不過,全案近來大逆轉,台中高分院認為該公司許多員工知道軟體更新時間及進入系統的公用帳密,加上導致系統癱瘓的登入途徑又遭惡意刪除,無法查出IP位址,不能證明是廖嫌所為,判決他無罪。

離譜的是,合議庭意外發現,微程式公司的資安管理明顯有疏失,離職員工竟仍可使用公用帳密登入主機,且就在案發前一天,還有相關登入主機的行為,並有原始的log(即行為軌跡)紀錄為憑,遭法院嚴詞批評,演變成業者因YouBike癱瘓欲抓鬼不成,卻反被法院倒打一耙。

YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)

由於攸關民眾權益,法官罕見地在判決書嚴厲批評,微程式公司未妥善控管登入帳號權限範圍,資安警覺度已有不足,且於發覺全案乃人為所致,卻未積極限制登入權限,以求進一步保存證據,以致無從認定是誰以公用帳號登入犯案,縱使廖嫌具有修改程式能力,也無法因此認定是他所為。

YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。

除了人為嚴重疏忽外,合議庭還發現YouBike的車柱控制器歷來更新程式,竟外包由中國北京科技廠商「北京友我公司」開發原始碼,完成後轉成十六進位檔,再透過「騰訊QQ」通訊軟體傳送回台,交由微笑單車的系統承包商邱姓工程師,由邱將十六進位檔透過該公司程式,轉成二進位檔進行各種操作測試,以確認該程式是否可運作正常,之後才進行後續軟體更新程序。

本刊調查,由於YouBike位在彰化及員林火車站前的場站較大,借、還車次數頻繁,消費者靠卡借車時經常出現故障代碼而無法借車,業者計畫更新程式,先挑選在台中福星公園、重慶公園、大甲體育館等場站更新測試成功後,決定在2016年8月31日凌晨1點,全面更新中彰地區的停車柱控制器程式。

YouBike車柱控制器系統委由北京友我科技公司開發程式碼,據該公司網頁(圖)介紹,業務範圍包括磁卡及門禁考勤等,規模不大。(翻攝網路)
YouBike車柱控制器系統委由北京友我科技公司開發程式碼,據該公司網頁(圖)介紹,業務範圍包括磁卡及門禁考勤等,規模不大。(翻攝網路)

到了更新前一天,業者還用電子郵件通知公司48位同仁有關程式測試結果及更新時間,結果軟體一更新就立刻癱瘓,業者急忙派人搶修2天才恢復正常,估計損失超過2千萬元,及影響數十萬名通勤族的權益。

檢警查出,YouBike大當機是駭客事先以公用帳密,從虛擬跳板主機登入管理主機,再植入「程式炸彈」,導致車柱程式更新時,伺服器下載錯誤檔案而癱瘓。

北京友我科技公司將程式原始檔以騰訊QQ軟體(圖)傳到台灣微笑單車系統商,由業者測試後才進行軟體更新。(翻攝網路)
北京友我科技公司將程式原始檔以騰訊QQ軟體(圖)傳到台灣微笑單車系統商,由業者測試後才進行軟體更新。(翻攝網路)

不過,跳板主機的公用帳密除了供研發主管使用,連其他維修工程師及研發部門等共約十位同仁都知道帳密可任意登入,因而全成了疑犯,由於廖姓工程師曾神預言會出包等幸災樂禍言論,加上拒絕測謊,被懷疑是內鬼遭起訴,但法院認為缺乏直接證據判決無罪。

回應

微程式公司表示,YouBike 1.0系統約在2011年底由北市府發包捷安特公司,為爭取開發時效,將車柱控制器中,屬於較低階的鎖體借還車韌體委託北京友我公司開發,核心的票證交易及金流扣款則由微程式自主研發,相關租借與票證扣款等資料紀錄與傳輸,採封閉式網路,外部無法入侵。對於官司判決結果,已全面導入資訊安全管理制度,每年定期執行系統程式弱點掃描與滲透測試,針對攻擊弱點補強,努力完善各項資安防護,確保該事件不再發生。

更新時間|2020.09.29 14:41

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

相關關鍵字: