2020.10.03 05:58 臺北時間

【全文】車控程式來自中國 YouBike爆重大資安風險

mm-logo
時事
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。(示意圖)
YouBike在4年前大當機,業者懷疑是自家工程師惡搞所致,憤而報警處理,如今案情出現大逆轉!台中高分院認為,無直接證據顯示是特定員工所為,判決工程師無罪定讞,但卻罕見地嚴厲批評業者資安警覺不足,不但一堆員工可循公用帳密操控管理主機,就連離職者也能使用。此外,業者發現全案是人為造成,卻未積極限制登入權限,以利證據保存,連癱瘓的車柱控制器程式都由來自中國北京的科技廠商研發,資安風險讓人憂心。
4年前,全台6縣市共2.2萬輛YouBike發生大當機,系統商微程式公司懷疑是自家廖姓工程師搞的鬼,因而向警方報案,台中地檢署調查後依妨害電腦使用罪將他起訴,不過,全案近來大逆轉,台中高分院認為,該公司許多員工知道軟體更新時間及進入系統的公用帳密,加上導致系統癱瘓的登入途徑又遭人惡意刪除,無法查出IP位址,不能證明是廖嫌所為,判決他無罪。
YouBike在中彰地區因借還車頻率高,常出現無法借車訊號,業者4年前更新程式時,遭駭客植入錯誤程式而癱瘓。

外包北京廠 開發程式

離譜的是,合議庭意外發現,微程式公司的資安管理明顯有疏失,離職員工竟仍可使用公用帳密登入主機,且就在案發前一天,還有相關登入主機的行為,並有原始的log(行為軌跡)紀錄為憑,遭法院嚴詞批評,演變成業者因YouBike癱瘓欲抓鬼不成,卻反被法院倒打一耙。
YouBike在4年前大當機,業者懷疑是自家工程師搞鬼,提告後不但敗訴,還被法官發現疏失,批評資安管理警覺度不足。
由於攸關民眾權益,法官罕見地在判決書嚴厲批評,微程式公司未妥善控管登入帳號權限範圍,資安警覺度已有不足,且於發覺全案乃人為所致,卻未積極限制登入權限,以求進一步保存證據,導致無從認定是誰以公用帳號登入犯案,縱使廖嫌具有修改程式能力,也無法因此認定是他所為。
除了人為嚴重疏忽外,合議庭還發現YouBike的車柱控制器歷來更新程式,竟外包由中國北京科技廠商「北京友我公司」開發原始碼,完成後轉成16進位檔,再透過「騰訊QQ」通訊軟體傳送回台,交由微笑單車的系統承包商邱姓工程師,由邱將16進位檔透過該公司程式,轉成2進位檔進行各種操作測試,以確認該程式是否可運作正常,之後才進行後續軟體更新程序。
北京友我科技公司將程式原始檔以騰訊QQ軟體(圖)傳到台灣微笑單車系統商,由業者測試後才進行軟體更新。(翻攝網路)
據北京友我科技公司的官網介紹,該公司規模不大,成立約11年,員工數介於5到50人間,業務範圍包括智慧卡和磁卡、作業防護產品及門禁考勤系統銷售,並未提及任何實績或詳述該公司有何本領可拿下YouBike車柱程式開發案,不禁讓人納悶難度不高的車柱軟體案,為何要大費周章委由中國廠商設計,且若未做好資安管理,是否也會造成消費者持悠遊卡或一卡通騎YouBike時,因實名制而衍生個資外洩的風險。
本刊調查,由於YouBike位在彰化及員林火車站前的場站較大,借、還車次數頻繁,消費者靠卡借車時經常出現故障代碼而無法借車,業者計畫更新程式,先挑選在台中福星公園、重慶公園及大甲體育館等場站更新測試成功後,決定在2016年8月31日凌晨1點,全面更新中彰地區的停車柱控制器程式。
YouBike車柱控制器系統委由北京友我科技公司開發程式碼,據該公司網頁(圖)介紹,業務範圍包括磁卡及門禁考勤等,規模不大。(翻攝網路)
更新前一天,業者還用電子郵件通知公司48位同仁有關程式測試結果及更新時間,結果軟體一更新就立刻癱瘓,業者急忙派人搶修2天才恢復正常,估計損失超過2千萬元,及影響數十萬名通勤族的權益。

遭駭客惡搞 疑犯眾多

檢警獲報後查出,YouBike大當機是駭客事先以公用帳密,從虛擬跳板主機登入管理主機,再植入惡意程式,導致車柱程式更新時,伺服器下載錯誤檔案而癱瘓,不過,跳板主機的公用帳密除了供研發主管使用,連其他維修工程師及研發部門等共約十位員工都知道帳密可任意登入,因而全成了疑犯。
YouBike設置地點多,可串聯不少景點,成為旅客最愛的交通工具之一。
其中廖姓工程師曾經因不願夜間輪班,及工作態度問題被主管關切,加上他又在系統當機的前一天下午,與同事通訊對話提到「我希望出包」「上面的才有警覺」等語,還稱已找好後路,可安然離職並領資遣費,並在公司發現log紀錄被刪除前,上網查詢「駭客入侵」「如何抓駭客」「內鬼電腦偵查」等紀錄,且拒絕測謊,因此被懷疑是內鬼而遭起訴。
YouBike遭駭客入侵大當機案,台中高分院(圖) 判廖姓工程師無罪,合議庭查無直接證據顯示特定員工所為,反批評業者的資安警覺不足。
不過,他向法官供稱,因工服部僅有3名工程師,他一定會被調查,一方面基於好奇,另一方面也想為公司找出凶手,才上網搜尋相關討論,法官認為,縱使他曾提到「可能公司要倒了」「不關我的事」「我烙跑了」或表明因疲勞而不願前往搶修等事不關己的言論,但隔天仍前往搶修,並非完全棄公司於不顧,加上關鍵的IP犯案位址遭刪除,缺乏直接證據可證明他犯案,因而判他無罪。
YouBike車柱程式由中國北京科技公司研發,資安管理若未做好,不禁讓人擔心是否連持悠遊卡借車時都可能個資外洩。
至於關鍵的資安問題,法官認為既然是人為造成,業者卻未積極限制登入權限,以利證據保存,且連癱瘓的車柱控制器程式都是由中國北京的科技廠商研發,若未做好資安管理,是否會造成消費者持悠遊卡或一卡通騎乘YouBike,因實名制而導致個資外洩。

新版本惹議 浪費公帑

YouBike在全台灣共設有上千個場站,設置地點擴及台北市、新北市、桃園市、新竹市、苗栗縣、台中市、彰化縣及高雄市等地,會員數高達1,300萬,連騎乘次數也突破1億7千萬餘次,儼然已成為都會區不可或缺的交通工具之一。
台北市政府推動YouBike2.0計畫,但前後2款車輛及車柱規格無法相容,連新北市長侯友宜都痛批浪費公帑。(翻攝自YouBike大台北粉絲團)
近來,台北市政府計畫YouBike升級為2.0引發爭議,過去的刷卡電腦將改放到自行車上,消費者可以直接刷車進行解鎖,但除了二個版本系統不相容,連新式的停車樁也與1.0版不同,市府還要再花大錢換車並蓋停車樁,不只新北市長侯友宜直言「浪費公帑」,連市議員也質疑市長柯文哲被廠商牽著走,相關單位務必妥善規劃,管理更要到位,才能落實「微笑單車、幸福城市」的設計初衷。

回應──微程式公司:努力完善資安防護

微程式公司表示,YouBike1.0系統約在2011年底由北市府發包捷安特公司,為 爭取開發時效,將車柱控制器中,屬較低階的鎖體借還車韌體委託北京友我公司開 發,核心的票證交易及金流扣款則由微程式自主研發,相關租借與票證扣款等資料紀 錄與傳輸,採封閉式網路,外部無法入侵。對於官司判決結果,該公司已全面導入資 訊安全管理制度,每年定期執行系統程式弱點掃描與滲透測試,針對攻擊弱點補強, 努力完善各項資安防護,確保該事件不再發生。

YouBike在台灣遍及多縣市,場站達上千個,已成為都會區不可或缺的交通工具。

免費保險上路 騎YouBike添保障

2014年6月,北市陳姓男 子騎YouBike因座墊鬆動而摔 車造成右手骨折,打官司後獲 賠15萬元,為讓騎士有更多保 障,YouBike去年起推出免費 保險,由政府出資,使用者上 官網登錄,全程不用1分鐘, 騎乘期間受傷住院,1天理賠上 限1千元,死亡或失能者最高 理賠1百萬元。該保險必須由 YouBike 用戶自行登錄,若沒 完成就不算數,由於YouBike 採卡片實名登錄制,本人使用 才享有保險權益,若把卡片借 給他人租車就不在理賠範圍。

更新時間|2023.09.12 20:36 臺北時間
延伸閱讀

支持鏡週刊

小心意大意義
小額贊助鏡週刊!

每月 $79 元全站看到飽
暢享無廣告閱讀體驗

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀