政治
2020.09.29 05:58

【Ubike資安危機1】車柱軟體設計來自中國小公司 程式原始碼竟用騰訊QQ傳

文|林俊宏    攝影|賴一銀
YouBike車柱程式由中國北京科技公司研發,資安管理若未做好,不禁讓人擔心是否連持悠遊卡借車時都可能個資外洩。
YouBike車柱程式由中國北京科技公司研發,資安管理若未做好,不禁讓人擔心是否連持悠遊卡借車時都可能個資外洩。

YouBike在4年前大當機,業者懷疑是自家工程師惡搞所致,憤而報警處理,如今案情出現大逆轉!台中高分院認為,無直接證據顯示是特定員工所為,判決工程師無罪定讞,但卻罕見的嚴厲批評業者資安警覺不足,不但一堆員工可循公用帳密操控管理主機,就連離職者也可使用。

此外,院方還認為,業者發現全案是人為造成,卻未積極限制登入權限,以利證據保存,連癱瘓的車柱控制器程式都由來自中國北京的科技廠商研發,資安風險讓人憂心。

離譜的是,合議庭意外發現,微程式公司的資安管理明顯有疏失,離職員工竟仍可使用公用帳密登入主機,且就在案發前一天,還有相關登入主機的行為,並有原始的log紀錄為憑,遭法院嚴詞批評,演變成業者因YouBike癱瘓欲抓鬼不成,卻反被法院倒打一耙。

YouBike設置地點多,可串聯不少景點,成為旅客最愛的交通工具之一。
YouBike設置地點多,可串聯不少景點,成為旅客最愛的交通工具之一。

由於攸關民眾權益,法官罕見地在判決書嚴厲批評,微程式公司未妥善控管登入帳號權限範圍,資安警覺度已有不足,且於發覺全案乃人為所致,卻未積極限制登入權限,以求進一步保存證據,以致無從認定是誰以公用帳號登入犯案,縱使廖嫌具有修改程式能力,也無法因此認定是他所為。

YouBike車柱控制器系統委由北京友我科技公司開發程式碼,據該公司網頁(圖)介紹,業務範圍包括磁卡及門禁考勤等,規模不大。(翻攝網路)
YouBike車柱控制器系統委由北京友我科技公司開發程式碼,據該公司網頁(圖)介紹,業務範圍包括磁卡及門禁考勤等,規模不大。(翻攝網路)

除了人為嚴重疏忽外,合議庭還發現YouBike的車柱控制器歷來更新程式,竟外包由中國北京科技廠商「北京友我公司」開發原始碼,完成後轉成十六進位檔,再透過「騰訊QQ」通訊軟體傳送回台,交由微笑單車的系統承包商邱姓工程師,由邱將十六進位檔透過該公司程式,轉成二進位檔進行各種操作測試,以確認該程式是否可運作正常,之後才進行後續軟體更新程序。

北京友我科技公司將程式原始檔以騰訊QQ軟體(圖)傳到台灣微笑單車系統商,由業者測試後才進行軟體更新。(翻攝網路)
北京友我科技公司將程式原始檔以騰訊QQ軟體(圖)傳到台灣微笑單車系統商,由業者測試後才進行軟體更新。(翻攝網路)

根據北京友我科技公司的官網介紹,該公司規模不大,成立約11年,員工數介於5到50人間,業務範圍包括智慧卡和磁卡、作業防護產品及門禁考勤系統銷售,並未提及任何實績或詳述該公司有何本領可拿下YouBike車柱程式開發案,不禁讓人納悶難度不高的車柱軟體案為何要大費周章委由中國廠商設計,且若未做好資安管理,是否也會造成消費者持悠遊卡或一卡通騎乘YouBike時,因實名制而有個資外洩的風險。

更新時間|2020.09.29 14:41

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

相關關鍵字: