銀河英雄傳說--
自由行星同盟軍第十三艦隊司令官．
楊威利說：「憑你這麼小心，沒用的時候就是沒用！」

(1)事件：台灣大車隊的司機，利用「55688 App」多元行動支付系統，充分授權司機迅速付款的漏洞，取得民眾信用卡資訊詐騙金錢(新聞來源： http://news.ltn.com.tw/news/society/breakingnews/2262443 )
(2)被攻擊單位：台灣大車隊
(3)系統：55688 App多元行動支付系統
(4)時間：2017年11月
(5)攻擊方式：APP迅速付款漏洞

最近很多新聞都在討論，公司內部資料外洩的問題，問題點在於公司內部員工跟外部不法集團相互配合，但這個台灣大車隊比較特殊一些，這些司機不是員工，而是會員。前面筆者有提到，近年產業形態已經有些改變，經營母體，通常不見得需要自己花大錢建置設備等等，靠者橫向整合，成功開創另一個事業模式。如果說是橫向整合，有個行業在台灣早已存在非常久了，那就是計程車業，過往計程車除了自營之外，大部分都會『靠行』，計程車行便會將業務分派給這些計程車，當然，隨著時間演化，產業也要跟著改變，但本質上還是不變，所以不管如Airbnb、Uber、台灣大車隊這類的公司，加入這些團體的人，都只是會員，並非員工，因此，先界定清楚，這個事件，基本上都是外部人所為的，再次強調，我們可以加入很多法人團體，但不代表加入就是內部人。

筆者服務過的某公司，曾經是台灣大車隊的合作廠商，過往筆者出差或者拜訪公司客戶，搭車時都會跟小黃的司機閒聊，聽到司機抱怨台灣大車隊制度的司機，佔了絕大部分，就某種程度來說，會爆發這種利用APP漏洞來詐取金錢，似乎早就有跡可循，然而，如果以一般計程車司機能發現這個漏洞應該機會不大，想當然爾，最大可能性就如新聞裡所說的，背後有人指導。

筆者認為，有些時候，可怕的地方就是在於這種身分界定不清的問題，筆者之前有提過授與權限的問題 (這案例似乎有違反最小權限原則)，但這些會員，本質上並不算是員工，但為了要給予某些實質上的便利性，因此不得不給予這些參加的會員必要的權限，這時灰色地帶就會出現，權限不符卻能使用較高的權限，而且是『充分授權』，同時，這個權限又必須要開放給所有會員，這才是最棘手的地方，稍不注意，除了公司可能造成損失，其他客戶也可能跟著受害。

其次，筆者討論一下付款的問題，在美國，有些公司都跟paypal合作，也就是扣款後，會有幾天左右時間先由paypal將錢先保留住，等到合作雙方都沒產生交易問題，再把錢匯入上游的公司，相較之下，台灣大車隊這個案例裡，就沒有這個機制，只為了快速付款，並沒有考慮到交易糾紛產生，所以，當外部團體發現這個漏洞時，很自然就會進行攻擊。這點公司就沒有充分保護到消費者利益，造成消費者損失，公司內部跟銀行雙方是否也要深入檢討這個問題呢？

最後，引用一篇中時在2017年11月的新聞， 標題：交通部擬修法 計程車司機可加入多個車隊 https://www.chinatimes.com/realtimenews/20171112002775-260405 ，如果讀者願意看這篇新聞報導，大概不難想像，現在小黃的問題還是很多，筆者在此就不著墨太多，只是如果台灣大車隊將來來想建立資料庫，那麼他掌握的資料可是數萬名的計程車司機與客戶的個資，加上又可以加入多個車隊跨行聯繫，資安勢必又是一堆問題。不過，大家也毋須太過驚訝，本來開放越多，問題自然也越多，這是很正常的。但是以一個企業的角度來說，既然都要做到大量運用資訊軟體，那麼相對的就要提升某些必要的資安觀念，除了避免糾紛，也是保障消費者，更保障到旗下的司機權益。