顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-04-15 09:56:22
看板 Gossiping
作者 kappakappa (kappa)
標題 Re: [政治] 口罩販賣機出現bug可重複購買! 柯文哲
時間 Tue Apr 14 20:09:08 2020


這機器現在看來 bug 有點多,
而且在個資/資安感覺怪怪的。

根據唐鳳在這討論串某二篇的推文:
販賣機跟3.0走同樣的 API,
3.0會有11000台連線,
唐鳳自己實測連線驗證才2秒,
所以健保局那端看來是做過測試,
能做到即時連線、驗證、交換資料。
(那二篇連結在此:
https://pttweb.tw/s/Q2KQz
Re: [政治] 口罩販賣機出現bug可重複購買! 柯文哲 - 八卦 | PTT Web Re:[政治]口罩販賣機出現bug可重複購買!柯文哲@gossiping,共有41則留言,16人參與討論,12推 4噓 25→, 唐鳳架的伺服器夠快,是因為認證、管理都在那邊,當然會快。而且採預購模式,系統也有充足時間update參數。但如果販賣機是你說的,採API模式外部連,那要即時驗證+upda ...

 
https://pttweb.tw/s/Q323r
Re: [政治] 口罩販賣機出現bug可重複購買! 柯文哲 - 八卦 | PTT Web Re:[政治]口罩販賣機出現bug可重複購買!柯文哲@gossiping,共有28則留言,9人參與討論,6推 2噓 20→, 覺得這個討論串越來越有趣了XDDD目前一次買9片,兩週一次假設伺服器兩台:1. 販賣機自架伺服器2. 唐鳳server販賣機:一天update到「唐鳳server」一次假設情 ...

 
很奇怪的是,這明明是蠻好的討論
結果那二篇的作者卻刪文,
連帶也把唐鳳的回應也刪了,
不知為什麼??)

健保局端既然沒問題,
那出問題的就是販賣機端。
看販賣機廠商的介紹,似乎有自己的後台,
所以主打智慧零售,能記錄分析每筆銷售交易
只是不知流程是不是先打自己的後台,
再去跟健保局連線?
因為看來他似乎沒有即時驗證、傳送資料,
而是先把資料儲存起來,事後才傳送補登。

若是這樣,
除了前面討論到爛的買一送一、
一卡清台這問題外,
比較嚴重的其實是個資/資安問題吧?

因為他為了事後能跟健保局連線,
勢必要將健保卡上的身份認證資訊,
連同購買資訊一起存下來。

舉例而言,
你在早上10點時在販賣機刷卡買了口罩
但機器沒有即時跟健保局連線傳輸,
到下午4點時才跟健保局說你買了口罩。
但是,下午4點時你根本沒插卡呀?
他是怎麼跟健保局說"你"買了口罩?

為了要正確的將購買記錄登記到購買者名下
需要每個購買者的身份認證資訊,
這就是刷健保卡的目的。
而在事後、沒有健保卡的情況下,
要如何跟健保局說是哪個人買走了口罩?
似乎只有在一開始刷卡時,
就將這些人在健保卡上的身份認證資訊
先存在自家後台/機器上,
等到事後連線健保局補登時,
再把這些身份認證資訊拿出來用。

比較一下平日用健保卡就知哪裡怪怪的。
一般去診所醫院藥局,都要現場過卡,
就算是你家旁邊常去的診所
萬一你某天忘了帶健保卡
看診時就是沒辦法用健保
需要找個時間拿健保卡回去過卡,
沒辦法叫出以前的刷卡記錄,
跟健保局連線說就是這個人來看診。

但是,
如果能將健保卡上的身份認證資訊存下來,
就不用這麼麻煩,
直接用那認證資訊跟健保局連線過卡不就好了
換句話說,
這廠商做的,是不是就像是幫人虛擬過卡?

所以到底有沒有另外存下身份認證資訊呢?
這東西可不是之前販賣機進校園時,
Ben Jay 說的只有存悠遊卡號,
而是真的可以連結到個人的個資了,
北市府跟廠商是不是應該要說明一下,
到底有沒有存個資?
如果沒有存的話,那是怎麼事後補登的?

退萬步言,
假如這種個資一定要存在廠商那邊,
每個用自動販賣機的人都知道嗎?
用的人都同意了嗎?了解這風險嗎?

舉個極端一點的例子
用販賣機買過的人,14天之後,
是不是就能直接用存在後台的身份認證資訊
連同當時的購買資訊,改個日期,
就能再買一次,不需重新過卡?
這樣豈不就成了訂閱制?

販賣機+訂閱制一次完成,
這簡直就是超超超超前布署了。

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.30.49 (臺灣)
※ 文章代碼(AID): #1UbQVcI- (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1586866150.A.4BE.html
SiFox: 高調!可能台灣人覺得個資不重要吧?1F 04/14 20:10
m21423: 沒犯法還怕個資外流???2F 04/14 20:11
bignoob: 公開透明是件好事,我想柯粉也認同3F 04/14 20:11
darkbrigher: 不管拉 柯糞:販賣機省人工 分流 免凹藥師4F 04/14 20:11
cerberi: 推5F 04/14 20:13
LinBaoYan: 別懷疑師父好嗎??6F 04/14 20:14
teremy: 有道理!7F 04/14 20:14
SiFox: 我是支持販賣機分流,但資訊處理明顯有問題...8F 04/14 20:16
HJC6666: 去問廠商啊 阿北一定都想到了9F 04/14 20:16
eyeter: 只要是柯市府推的販賣機絕對沒問題會懷疑的一定是綠共10F 04/14 20:16
SiFox: "唐鳳自己實測連線驗證才2秒"...販賣機要幾小時?11F 04/14 20:18
SiFox: 花幾小時,是打算把資料傳到哪裡去?國外嗎?還是哪裡?
cake10414: 可以 建議可以提供議員你的建議或直接到業安科技FB留言13F 04/14 20:21
cake10414: 被你一說 我也有點好奇了
SiFox: 往最壞處想,若真要作惡,檢查到哪張卡最近沒領,就賺到了15F 04/14 20:25
newrider: 例子太極端不現實啊 不過資訊問題的確需要廠商說明16F 04/14 20:31
terry1043: 這些的確該說明17F 04/14 20:36
terry1043: 可以這樣儲存個資?
wenge321: 你想太多了 今天記者會就有解釋了 就是順序的問題19F 04/14 20:39
wenge321: https://youtu.be/WBUCv01otsM?t=654
 
wenge321: 昨天有說過 昨天最後一程序要聯線駐記完成時 有人看口21F 04/14 20:40
wenge321: 罩掉下來  就直接抽健保卡 使得聯線註記不成功

記者會說從"log"撈資訊出來補登,
所以這個"log"有包括個人身份資訊
跟購買資訊?
不然怎麼補登?
然後這"log"存哪?
就存在廠商自己後台的資料庫嗎?
所以不論是否有買一送一、一卡清台的bug
廠商本來就會儲存每個人的健保卡資訊?

Willier: 需要志工根本可以直接設點販賣 呵呵23F 04/14 20:44
yesonline: 插提款卡後錢先吐出來就完成整個交易.24F 04/14 20:45
※ 編輯: kappakappa (140.112.30.49 臺灣), 04/14/2020 20:48:33
yesonline: 因為是API介接,不存卡號,只存身分驗證序號.25F 04/14 20:51
kappakappa: 所以這個序號可以辨識到個人?也可以幫你再次購買口罩?26F 04/14 20:53
yesonline: 序號只會看出健保卡在哪個通路使用,例如A01xxxxxx000127F 04/14 20:57
yesonline: 不能用這個序號幫你購買口罩(序號亂數)只能用一次.
vincentkuo: 很合理的質疑 不怕資訊外洩的柯糞就去用吧29F 04/14 20:58
kappakappa: 如果只看得出在哪個通路使用,要怎麼補登?有點矛盾30F 04/14 20:59
yesonline: 這廠商之前搞用身分證買口罩販賣機才有個資問題31F 04/14 21:00
kappakappa: 可是亂數產生的序號,要怎麼補登回個人名下?32F 04/14 21:01
duduchiau: 健保局那邊有資料吧33F 04/14 21:03

上面提的序號感覺比較像transaction id?
用亂數/uuid當transaction id沒問題
但是在尚未交易/交易沒成功時,
此時健保局沒有此筆交易資料
(有的話幹嘛補登?)
若要從販賣機端能連線補登
勢必要有方法能識別系統中的個人身份
不然怎麼將購買數量登記到正確的人名下?
上面記者會提到"log",
這"log"如果有個人身份資訊且存廠商那
不就有個資/資安問題...

Szss: 一定要即時啊~不然去藥局買再去販賣機買就兩次了啊~34F 04/14 21:09
al311166: 叫健保局開server啊35F 04/14 21:16
※ 編輯: kappakappa (140.112.30.49 臺灣), 04/14/2020 21:22:48
xenomania200: 業者說他們沒有儲存使用者資料耶 https://i.imgur.c36F 04/15 00:40
xenomania200:  https://i.imgur.com/pAjDeDR.jpg
[圖]
 

正常流程的確是不需要儲存使用者個資:
1.插健保卡驗證身份
2.選口罩、付錢
3.連線回健保局登記已買口罩
4.拿回健保卡、口罩閃人

假如一切順利,
跟健保局的連線驗證都能即時完成
那就不用儲存個資,
廠商可以只存購買資料回自己後台。

可是周末全民公測時似乎有出錯
柯文哲自己說出業者沒按一般流程
所以有70幾筆是事後補登
(這件事上面有人貼的記者會也說了
他們後來從"log"中找出資料補登
所以應該不是柯文哲弄錯)

假如所謂的"log"只有單純的
購買資料&付款資訊,
沒有購買人健保卡上的身份個資
事後頂多知道有70幾人沒登記到
應該是沒辦法知道是哪些人出錯
更沒辦法可以事後連線補登才對。

Scion: 業者那篇還說先認證確認資格再付款呢,根本唬爛嘴38F 04/15 01:45
※ 編輯: kappakappa (140.112.30.49 臺灣), 04/15/2020 03:28:15
zuan: 柯粉無視這篇39F 04/15 08:28

--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 276 
分享網址: 複製 已複製
1樓 時間: 2020-04-15 00:38:16 (台灣)
  04-15 00:38 TW
本來以為柯推販賣機只不過是邊際效應而已 居然能搞到有破壞配給跟資安疑慮...
2樓 時間: 2020-04-15 07:57:43 (台灣)
  04-15 07:57 TW
想造神吧,製造話題
像TMD不也都蹭時力提過的,想變成自己的造神?
不去查歷史資料就會被騙了
反而TMD害黃國昌落選,一個法學專業的換像韓導一樣的亂投票?
販賣機頂多偏鄉沒有藥局,沒衛生所可用 但是因為健保卡才可購買,需要網路連線,必須牽網路 所以根本沒用 而且偏鄉最適合就宅急便吧,那是不是網購最適合? 相同的柯粉狂洗說分流?要另外增加人力? 明明網購就有既定的物流系統 物流系統就算不送口罩,也會有固定的人力送其他的 那是不是網購不但重複使用人力,還可以解決問題? 只要更便利訂購,流程簡化,介面優化 功能齊全涵蓋所有需求,包括兒童口罩也可網購 是不是就能解決問題?
3樓 時間: 2020-04-15 07:58:22 (台灣)
  04-15 07:58 TW
可有可無的政策,還浪費一大堆人力,你我的納稅錢
4樓 時間: 2020-04-15 09:28:18 (台灣)
  04-15 09:28 TW
排戲時抵不住表演慾硬是衝上台,跑龍套就能變成男一號?
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇