政治
2020.09.29 05:58

【Ubike資安危機2】工程師神預言會出包 他被懷疑是內鬼劇情超展開

文|林俊宏    攝影|賴智揚
YouBike在台灣遍及多縣市,場站達上千個,已成為都會區不可或缺的交通工具。
YouBike在台灣遍及多縣市,場站達上千個,已成為都會區不可或缺的交通工具。

本刊調查,由於YouBike位在彰化及員林火車站前的場站較大,借、還車次數頻繁,消費者靠卡借車時經常出現故障代碼而無法借車,業者計畫更新程式,先挑選在台中福星公園、重慶公園、大甲體育館等場站更新測試成功後,決定在2016年8月31日凌晨1點,全面更新中彰地區的停車柱控制器程式。

到了更新前一天,業者還用電子郵件通知公司48位同仁有關程式測試結果及更新時間,結果軟體一更新就立刻癱瘓,業者急忙派人搶修2天才恢復正常,估計損失超過2千萬元,及影響數十萬名通勤族的權益。

檢警查出,YouBike大當機是駭客事先以公用帳密,從虛擬跳板主機登入管理主機,再植入「程式炸彈」,導致車柱程式更新時,伺服器下載錯誤檔案而癱瘓,不過,跳板主機的公用帳密除了供研發主管使用,連其他維修工程師及研發部門等共約10位同仁都知道帳密可任意登入,因而全成了疑犯。

YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)

檢警獲報後,發現廖姓工程師曾因不願夜間輪班及工作態度問題被主管關切,加上他又在系統當機的前一天下午,與同事通訊對話提到「我希望出包」、「上面的才有警覺」等語,還稱已找好後路,可安然離職並領資遣費,並在公司發現log紀錄被刪除前,上網查詢「駭客入侵」「如何抓駭客」「內鬼電腦偵查」等紀錄,且拒絕測謊,因此被懷疑是內鬼而遭起訴。

不過,他向法官供稱,因工服部僅有3名工程師,他一定會被調查,一方面基於好奇,另一方面也想為公司找出凶手,才上網搜尋相關討論,法官認為,縱使他曾提到「可能公司要倒了」「不關我的事」「我烙跑了」或表明因疲勞而不願前往搶修等事不關己的言論,但隔天仍前往搶修,並非完全棄公司於不顧,加上關鍵的IP犯案位址遭刪除,缺乏直接證據可證明他犯案,因而判他無罪。

至於關鍵的資安問題,法官認為既然是人為造成,業者卻未積極限制登入權限,以利證據保存,且連癱瘓的車柱控制器程式,都是由中國北京的科技廠商研發。此外,若未做好資安管理,是否會造成消費者持悠遊卡或一卡通騎乘YouBike,因實名制而導致個資外洩。

YouBike遭駭客入侵大當機案,台中高分院(圖) 判廖姓工程師無罪,合議庭查無直接證據顯示特定員工所為,反批評業者的資安警覺不足。
YouBike遭駭客入侵大當機案,台中高分院(圖) 判廖姓工程師無罪,合議庭查無直接證據顯示特定員工所為,反批評業者的資安警覺不足。

Youbike全台共設有上千個場站,設置地點擴及台北市、新北市、桃園市、新竹市、苗栗縣、台中市、彰化縣及高雄市等地,最新的會員卡數高達1300萬,連騎乘次數也突破1億7000萬餘次,儼然已成為都會區不可或缺的交通工具之一。

近來台北市政府計畫YouBike升級為2.0引發爭議,過去的刷卡電腦將改放到自行車上,消費者直接刷車進行解鎖,除了二個版本系統不相容,連新式的停車椿也與1.0版不同,市府還要再花大錢換車並蓋停車椿,不只新北市長侯友宜直言「浪費公帑」,連市議員也質疑市長柯文哲被廠商牽著走,相關單位務必妥善規劃,管理更要到位,才能落實「微笑單車、幸福城市」的設計初衷。

更新時間|2020.09.29 14:41

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

相關關鍵字: