承辦YouBike的微笑單車公司說明,5月17日晚間6時至10時,及5月21日凌晨2至5時,分別遭到駭客以不同技術手法進行網路攻擊,雖經阻擋,發現均屬惡意人士自不明來源取得會員的手機號碼,及該號碼於其他平台慣用密碼,藉此嘗試登入YouBike會員帳號。

微笑單車公司稱,經分析此次駭客攻擊,應屬駭客按上述帳號密碼、於微笑單車官網循正常路徑進行會員登入,大量攻擊取得資料,全台共計4萬593筆會員帳號遭駭客登入,並盜取電子票證卡號及其騎乘紀錄,微笑單車已主動變更遭惡意登入的會員密碼,並發簡訊通知上述會員變更密碼。

全台共計4萬593筆會員帳號遭駭客登入。資料照,賴昀岫攝
全台共計4萬593筆會員帳號遭駭客登入。資料照,賴昀岫攝

微笑單車公司在2023年5月19日通報YouBike會員個資遭竊後,台北市交通局當日即會同新北市交通局派員前往訪查,了解網路攻擊事件及初步處理情形。

北市交通局並於5月22日再次邀集市府消保官及資訊局,會同其他縣市,就本事件造成消費者權益受損及資訊安全防護缺失採行政檢查。

全國約有4萬筆交易資料可能被竊取。資料照,賴昀岫攝
全國約有4萬筆交易資料可能被竊取。資料照,賴昀岫攝

北市交通局表示,已要求微笑單車最晚於5月26日提供各縣市資訊安全防護改善規劃報告外,北市消保官基於消費者權益保護,也要求微笑單車公司提供通案性補償方案。

針對此事件,微笑單車今天表示,已通報政府機關、通知民眾及提供資訊予檢警調單位進行調查,並將提起告訴,於檢警調單位偵辦得出應負責之人後,其訴追法律責任。

 

消保官要求微笑單車公司提供通案性補償方案。資料照,賴昀岫攝
消保官要求微笑單車公司提供通案性補償方案。資料照,賴昀岫攝

「微笑單車公司也將本於企業社會責任與道義責任,經擴大盤查後,補償相關會員。【補償方案】為提供相關會員每人500元之YouBike 2.0 騎乘券,目前騎乘券機制已進行開發中,將於2023年9月份可上線使用。」

若有會員遭假冒微笑單車名義進行詐騙的受害民眾,微笑單車也提醒,盡速於今年5月28日零時前向警察單位完成報案,並備妥佐證資料(警察單位出具之案件證明單、足證明詐騙時間之通聯記錄或簡訊、詐騙通知內容、匯款憑證或其他憑付資料及其他必要佐證資料),本人可於2023年6月1日至7日間親至各地微笑單車服務中心申請個案補償。相關補償規範依官網公告【補償方案執行要點】為主。

 

交通局提醒民眾慎防詐騙。翻攝畫面
交通局提醒民眾慎防詐騙。翻攝畫面

微笑單車重申,已用簡訊通知會員留意,並完成全會員修改密碼強度規則,及新增防堵機器人的驗證功能,抵禦駭客再次登入;且基於重視會員權益、積極防堵詐騙,擴大盤查範圍,也發送提醒簡訊給「近一年有騎乘YouBike會員」,留意潛在詐騙風險。

微笑單車指出,系統亦依照該公司已通過驗證的ISO27001資訊安全標準及BS 10012個資管理標準,進行全面系統潛在風險盤查,提升資安強化與系統防禦能力。