訪問來賓: 臺北科技大學 智慧財產權研究所副教授 江雅綺

近年來YouBike,又稱為微笑單車,這種公共自行車已經從台北市普及到台灣各縣市,成為很多人在市區內通勤上下班、接駁 ,不可或缺的綠色低碳交通工具,甚至還是不少人騎車健身的好幫手。
第一代的YouBike公共自行車系統,全台灣共有台北市、新北市、高雄市等八個縣市採用,提供兩萬多輛公共自行車給市民使用。
新版的 YouBike 2.0也有6 百輛公共自行車,於今年一月起在台北公館地區、包括台灣大學校園內外等地開始進行試用,未來將逐步汰換第一代的YouBike。
YouBike的便利,是愈來愈普及的原因,但而四年前的YouBike全台大當機事件,可能不少人還有印象,當時全台灣有六個縣市、一共2萬2千輛的YouBike公共自行車,全部鎖在停車柱上,動彈不得,讓許多使用者當時抱怨連連。

2016年當時負責維護YouBike系統的業者「微程式」公司,懷疑是自家工程師惡搞,報警偵辦,控告廖姓工程師,但經過法院審理,案件到了高等法院台中分院,經過進一步深入調查後發現,業者當時在更新 「車控程式」時,被駭客植入錯誤程式而癱瘓,但並沒有直接證據證明是特定員工所為,因此判決廖姓工程師無罪。
台中高分院法官 並且罕見的在判決書中嚴詞批評 業者『微程式』公司,對於資安警覺不足,許多員工都可以利用公共的帳號密碼、來管理YouBike控制主機,也沒有積極限制登入權限,甚至是造成YouBike大規模系統癱瘓的車柱控制器程式,都是來自於中國北京的一家小公司,因此引發資安風暴,也讓實名制使用YouBike的台灣民眾 個人資料都可能外洩。

臺北科技大學 智慧財產權研究所副教授 江雅綺分析,這種高度風險的資安事件,首先是暴露出 這家業者在處理大眾使用的公共自行車系統時,並沒有注意整個過程,必須要有「乾淨網路」的觀念,也就是從運營商到APP、雲端甚至是系統需要的網路電纜線路、在整個資訊流通過程中,都必須盡可能減少資訊外洩的風險。

第二點是連基本的系統帳號與密碼管理觀念,都有嚴重的疏失,沒有依據不同使用者設置不同權限,而是給一群工程師都使用同一組公用帳號密碼,根本是罔顧資訊系統安全基本要求,也難怪法官會在判決書嚴厲責備這家公司負責人。

事實上,很多人可能忘了,YouBike微笑單車,是從「臺北市公共自行車租賃系統建置營運及管理」計畫,這個BOT案而來。由於在台北市獲得成功之後,目前延伸到其他七個縣市,也都是政府所規劃的建設計畫,委託給民間企業建造、營運後,最終會轉移交給政府營運,也因此YouBike是在官方授權之下,由民間企業營運、取得民眾們以實名制使用公共自行車,因此留下了龐大的使用者的個人資料。

江雅綺提醒,儘管近期許多個資外洩的案件出現在新聞版面上,但台灣社會普遍對於資訊安全觀念的不足,甚至基本的要求都沒有落實,才會造成連 應該是專業單位、也就是提供公共服務的系統營運商,都輕忽了資安基本動作、無意中自己打開了大門、引來駭客入侵、癱瘓系統運作,甚至還可能會遭到駭客,竊取大量個人資料,造成數百萬人的隱私遭到侵犯的嚴重行為。

公共服務系統的資訊安全、理應有較高的標準,但為何四年前的YouBike系統維護商,卻會使用來自中國北京的一家小公司、提供的停車柱控制軟體?
主要因素還是成本考量,畢竟中國大陸近年來的軟體設計能力發展迅速,也有較大的市場,因此把價格也壓低到非常有競爭力。

其實,很多民眾也發現,在蘋果與安卓兩大手機系統平台上都可以發現大量的中國產製的APP應用程式。

江雅綺分析,這些中國產製的APP或是軟體,基本上功能可能並沒有問題,但如果經過資安的驗證,才是令人可以放心的。畢竟連抖音、TikTok
或是先前爆紅的視訊會議軟體Zoom都發生過、中國軟體把使用者個人資料在用戶不知情的情況下,傳送到中國大陸,可能流入中共官方國安、情報或統戰單位之手,不只侵害個人隱私,甚至可能危害到國家安全。