loading...
政府文宣及活動報名使用QR code連結的方式相當普及,但高雄市議員張博洋擔憂,若QR code遭不法人士調包成惡意程式連結,恐造成民眾損失;且在活動報名的部分,連結內的表單多採用外部雲端服務平台,使用私人帳號建置或管理權限不明,呼籲市府增設驗證機制。
去年2月時曾有民眾反映,高市府社會局發送的救助方案文宣中提供的簡章QR code連結,掃描後竟跳轉至一個簡體字網頁,接著不斷跳出廣告,還以為是釣魚詐騙。據了解,疑是使用免費的QR code產生器,因試用期到期而跳轉至提供服務的原始網站,而這類網站有不少來自中國。
張博洋15日在市議會質詢時指出,市府各局處文宣使用QR code連結的情形相當普遍,若市府人員誤用具惡意程式風險的QR Code產生器,或不慎將連結導向外部不明網站,將使市民面臨個資被盜、木馬程式植入甚至銀行存款被盜領等風險。
張博洋說,即便QR Code沒有問題,連結進入的活動報名表、申請表等,也都採用外部雲端服務平台提供的表單,如Google Forms、Cognito Forms 等,且表單恐由私人帳號建立,也有管理權限不明的問題,市府蒐集民眾個資後卻儲存在外部雲端及後台,恐有外流風險。
張博洋表示,在中共病毒疫情期間使用的「簡訊實聯制」QR Code,透過台北通 APP 或 LINE 疾管家官方帳號掃描時,均具備官方驗證機制,非官方QR Code就會無法辨識,在第一階段掃描機制中就阻絕受害風險。且高雄市本來就有自己的「數位市民」線上報名系統,為何各局處卻棄之不用?
張博洋建議,市府將各局處涉及個資的業務與活動統一整合至「數位市民」平台,讓市民能在單一窗口完成操作,個資集中管理,同時導入官方防詐驗證掃描器,以確保資訊安全。
對此,高市府研考會主委陳博洲回應,目前確有部分同仁使用私人帳號製作表單,因此存在一定的資安風險。未來將研議推出報名系統模組供各局處使用,同時也會研議詐騙辨識機制,以保障市民個資安全。◇
