「好心做壞事」低級開發技術 共乘軌跡查詢系統恐洩個資

來論

文:IT 民工

網址:https://aamacau.com/?p=79792

時間:2021年09月28日 23:23

Pode ser uma imagem de texto

澳門最近出現新確診,幾名患者皆有乘坐巴士,於是乎巴士公司的網上公開與患者搭乘同一巴士的澳門通卡號,而網絡上亦流傳網站–以澳門通卡或Mpay查詢共乘軌跡的系統。該系統似是方便了市民、甚至當局防疫。但,稍微思考這系統恐涉及洩露查詢者的個人資料。

現時在網路上廣傳的查詢系統,可謂問題多多。使用者在使用「共乘軌跡查詢系統」時,會連同一個包含所有乘車資料的檔案,直接下載到用戶瀏覽器中,再進行比較。該檔案包含所有涉及的澳門通卡號/電話號碼 (大概傍晚7時,類似電話號碼的數字似被隱藏了),以及所對應搭乘的巴士線路及日期時間,這個方式等同每個使用者人手一份同乘軌跡數據庫,即清楚了解某張澳門通卡/MPAY持有人何時坐過幾號巴士。

這系統開發明顯應用了非常低級的開發技巧。一個比較好的做法應該是查詢時配合短信驗証碼,確保查詢者是其本人。同時,毋需顯示時間及巴士號,只需顯示是否同軌即可,即使在網上顯示了時間和巴士號,其意義亦不太。即使不用短信驗証,但最低限度應該加一些基本查詢驗証。然而,若短訊查詢或會產生短信成本。然而,針對個人資料的保護,這網站明顯忽略。更甚者,這或導致稍微且開發知識的人都可以輕易獲取到所有資料,讓有心人有機可乘,以此獲取電話號碼進行電話詐騙。

不僅如此,網站數據更是放在cn-hongkong阿里雲伺服器,即把澳門居民個人資料放在非澳門本地的伺服器,似乎是有違《個人資料保護法》,而在這個網頁上更是找不到任何一個條款。明顯地,當局似未有察覺。

巴士公司早早就在自家網站上直接放出了所有澳門通卡號,即所有人的卡號放在一個pdf檔中直接公佈,雖寫是卡號,但檔內顯然包括許多Mpay電話號碼。有關實體在公開前是否有考慮清楚呢?試問為何不只公佈頭尾3、4位呢?

雖然方便大家查同乘軌跡是好事,但導致市民的個人資料這般「赤裸裸」地公開,只能說是「好心做壞事」。若不及時叫停和修正,或會引發後續一連串問題,當局及有關實體需正視有關問題。

本媒就該系統涉及的問題以訊息向衛生局查詢,局方暫未有回覆。

(讀者來論︰本文僅代表讀者立場)

訂閱每月紙本