2014年1月8日 星期三

eTag頻出包 管碧玲:遠通亂收五大皆空



遠通電收狀況百出,立委管碧玲昨天揭示網民爆出各離奇收費案例後,今天(1/8)上午再出示遠通官網遭駭客入侵後,被公開於網路的「管理帳號密碼檔」與「前端設備系統目錄結構」,管碧玲痛批「遠通亂收」搞得全民替ETC系統除錯,電子收費五大層面都失靈;而駭客示警意味濃厚的公布兩筆資料,刻意顯示出前端系統目錄中竟有「電子公路監理資料庫」令人震驚,管碧玲認為這已經是重大資安危機,當場要求交通部協調行政院資安小組協助介入調查,交通部長葉匡時允諾查辦。

管碧玲表示,整個電子收費系統不外乎就是五大層面:感應辨識設備、扣款系統設定、帳務計算處理、金流傳輸客服、資訊安全控管,但一周以來的狀況顯示這五大層面全部失靈,已經被遠通搞得「五大皆空」,遠通電收變成「遠通亂收」,全體用戶成為替遠通系統除錯的免費工讀生,再不挽救國人對ETC的信心危機,國道電子計程收費恐怕很快就會成為一場笑話,因此她昨天強烈呼籲交通部要立即再次複驗,若不能於春節前徹底解決遠通電收的問題,就應改變收費制度成為月結制。

管碧玲指出,最令人震驚的是遠通的資安漏洞、應變能力,以及官網前端設備被駭客揭露存放有電子公路監理資料庫。管碧玲表示,1月1日計程收費第一天遠通就宣稱遭駭客入侵,到今天為止APP還未完全恢復、遠通官方網站(www.fetc.net.tw)也還完全癱瘓中,遠通宣稱這是在轉換系統,但哪有可能轉換了8天還在轉換?



管碧玲再指出,根據網友揭露的資料,駭客在1/6上午11:23,及1/7上午2:38(皆美國中部時間)先後公開流出兩分駭得的文件,前者是以路徑指令取得遠通官網的「管理帳號密碼檔」,後者是遠通「前端設備系統目錄結構」。管碧玲表示,資料顯示駭客「至少」先取得了帳號密碼檔中的八名系統管理者權限,再以其中一位管理者的帳號密碼進入前端系統,並將該資料系統目錄結構完全展示;依據資訊工程專業人員說法,完全是因為遠通的資安能力近乎幼稚園等級,就能輕易駭入系統。

管碧玲強調,這也只是駭客願意揭露的資訊,資料庫大門被打開,拿走甚麼東西誰知道? 令人訝異的是,第二份文件的目錄結構展示了車牌辨識資料庫(lpr_database;lpr即License Plate Recognition),其下有車牌辨識影像資料目錄(lpr_data_img)、車牌辨識成功資料目錄(lpr_data_done)、車牌辨識失敗資料目錄(lpr_data_missed)、人工車牌辨識資料目錄(lpr_data_manual),及電子監理資料目錄(mvdis_data)。管碧玲認為,駭客應是刻意要揭露這個事實:遠通前端設備資料中竟包含了「電子監理資料目錄(mvdis_data)」。

管碧玲表示,過去交通部及高公局一再宣稱ETC用戶個資無虞,因為監理資料都不在遠通這一端,遠通要查詢必須連線交通部的監理資料庫,但駭客揭露的事實呈現遠通的前端資料庫確實存放有電子監理資料。管碧玲痛批交通部任憑遠通電收片面說詞,就相信遠通網站未被駭客入侵、資料庫未被存取破壞,但事實呈現就是被入侵,交通部憑甚麼相信遠通資料未被竊取? 管碧玲認為這已經是重大資安問題,當場要求交通部要立即請求行政院資安小組協助介入調查,向社會釐清究竟遠通資料庫是否存有監理系統個資?以及資料庫發生甚麼事情至今癱瘓?葉匡時也允諾將盡速徹查。



獨立媒體 採訪報導

沒有留言:

張貼留言