Re: [新聞] 【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款

看板Gossiping作者 (得理饒人)時間4年前 (2020/05/05 07:41), 4年前編輯推噓21(26517)
留言48則, 32人參與, 4年前最新討論串4/5 (看更多)
這件事情跟這篇新聞都很有趣。 我先講我也很討厭財金公司,這間公司搞出不少鳥事,專業程度也很有待改善。 但這個案子我覺得鍋不是他們的,理由是 1. 全國繳費網算是一個 gateway , 他只是負責提供平台讓繳款跟付款的人兩邊對接。 2. 驗證應該是雙邊驗證的程序, 換言之轉出方要核對接收方的處理, 轉入方也該確保轉入方有驗證到對應的身分。 不然,這系統誰敢用。 3. 這件事情雖然財金公司, 可能要為 protocal 設計不友善負上一點責任, (我必須說他們找點會設計 api 跟資料流的人好不好, 下略幾萬字。) 但真正的問題顯然在銀行端啊, 銀行端莫名奇妙收錢還不用確認轉帳帳號的身分。 自己實作這類機制還不用把關,反正錢收到就好。 然後現在出事兩手一攤推給財金, 銀行名字隻字不提........ 只能說好大的官威。 很多公司都有實作這類存款戶轉線上交易,他們都能做到檢驗本人, 那為什麼這案銀行端該做的沒做,該驗的沒驗,該把關的沒把關。 而且這麼明顯的過失,竟然沒有被揭露銀行名字。 我覺得不是要幫財金公司講話,而是這樣到底是在究三小責。 ※ 引述《stre1654 (青笠)》之銘言: : 1.媒體來源: : CTWANT : 2.記者署名: : 謝東明 : 3.完整新聞標題: : 【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款 : 【全國盜領網2】掌握身分證銀行帳號 別人幫你繳房貸 : 【全國盜領網3】手機就可登錄操作 存款遭清空都不知道 : 【全國盜領網4】銀行公會主導創建 涵蓋1800家企業繳費項目 : 4.完整新聞內文: : 為了節省時間,也為了避免在公司、住家與銀行間四處奔波,許多民眾都會透過網路付費 : 平台,繳交例如水費、電費、信用卡費、小孩學費,甚至銀行貸款等生活支出。 : 但由財金資訊公司營運的「全國繳費網」,卻爆出重大資安漏洞,只要有心人掌握了個人 : 身分證字號與銀行帳號,就能在手指與滑鼠間游移,三十秒內無聲無息的讓帳戶存款乾坤 : 大挪移。 : 現代宅經濟,讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家 : 事業單位的「全國繳費網」,卻爆出重大資安危機。有讀者爆料,在「繳納貸款」的項目 : 裏,填上自己的銀行帳戶號碼與繳款金額後,就算填上他人的身分證字號與銀行帳號,不 : 須密碼不須驗證,也能輕鬆轉帳,盜領他人的存款。 : 由中華民國銀行公會主導,委託財金資訊公司,整合各金融機關與政府公用事業單位,設 : 立的「全國繳費網」,原本是一個可以讓民眾,在任何時間、任何地點,就能繳納各項費 : 用的線上帳單付款服務平台,各種生活支出,幾乎都能在網路平台上一指搞定。 : 本刊調查,儘管填寫資料時,欄目旁也有「使用活期性存款帳戶(不須讀卡機,且只能繳 : 本人帳單)」的警語。但填寫完資料,儘管繳費方與轉帳方不一樣,帳戶裏的存款仍然成 : 功被轉走,民眾帳戶款項轉出後,甚至也不會接獲銀行通知,在毫不知情下,存款就不見 : 了,令人覺得十分驚悚。 : 便利民眾繳納各種生活支出的「全國繳費網」,可能已成為詐欺集團犯案的工具。本刊調 : 查,其實今年已有案例,小君(化名)自爆,今年三月間接獲警方通知,銀行存款疑遭盜 : 領,一度還以為是詐騙電話,但刷卡查證後,帳戶裏真的少了五萬元,讓她嚇了一跳。 : 警方深入追查,嫌犯是一名無業的二十六歲賴姓男子,透過他的銀行來往紀錄,發現竟還 : 有另外一名被害人,也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱,盜領存 : 款的方法,就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了,甚至 : 還不知不覺。 : 警方調查,賴嫌自稱在操作全國繳費網時,意外發現系統裏的「誤區」,在繳納貸款時, : 竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網」竟出現了資 : 安漏洞。更在發現經營房仲業的哥哥,將客戶資料帶回家整理時,突然產生了犯案的念頭 : 。 : 賴男趁機從中抄下多名客戶資料,再利用抄下的身分證字號和金融帳戶,替自己「還債」 : 。食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要 : 透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳 : 費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。 : 所以,賴男除了偷走了小君的五萬元,也分三次「移出」了新北市林姓女子的十五萬元存 : 款。目前警方已深入追查,是否還有其他被害人。 : 財金公司營運的「全國繳費網」爆發資安漏洞,本刊記者實測電腦版「全國繳費網」,真 : 的只要掌握別人的身分證字號,就能利用別人的銀行帳號,轉走帳戶裏的錢。而且帳戶款 : 項遭轉出後,也沒有接獲銀行通知,尤其,「全國繳費網」也有手機版,只要登錄就可操 : 作,讓人覺得十分擔憂。 : 本刊記者實測,登入「全國繳費網」後,在繳納信用卡費或eTag國道電子收費儲值、停車 : 費等項目時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編 : 號錯誤」的訊息。確實,只能繳交本人帳單。 : 不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁 : 填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示出交易成功;本刊記者 : 接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無 : 聲無息地把別人的存款轉到自己的帳戶償還貸款。 : 此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明 : 「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。 : 記者向財金公司求證,財金公司表示,已立即向接收非本人帳款的銀行進行瞭解並要求立 : 刻改善,應該只是單一銀行電腦作業疏失,會通函金融機構檢視相關作業,以確保消費者 : 權益。 : 財政部及公、民營金融機構共同出資,籌設的「財金資訊股份有限公司」,原本是財政部 : 於西元一九八四年以任務編組方式,成立的「金融資訊規劃設計小組,到了一九九八年, : 報奉行政院核定,這才改制為公司組織。 : 「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站,由財金公司負 : 責營運維修,可提供民眾即時網上繳費的跨行服務,到了二○一四年更推出手機APP,讓 : 民眾可以隨時隨地上網繳費。 : 財金公司目前有董事會十五席,代表中央銀行的公股就有十一席,民股則有四席,監察人 : 則有五席,都由國內各銀行代表出任。包括自動化服務機器共用,也就是所謂的自動提款 : 機,例如提款、繳費、轉帳、餘額查詢等跨行服務,行動支付「台灣pay」等,都是財金 : 公司重要營運項目之一。 : 至於「全國繳費網」,原為由銀行公會主導建置的示範性網站,結合金融機構及事業單位 : ,初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務,二○○五年七月,「全國 : 繳費網」正式上線。之後,服務項目越來越多,到了二○一四年,推出手機版的「全國繳 : 費網APP」,民眾可隨時隨地上網繳費。 : 財金資訊公司結合其他公用事業單位,整合自動化繳款通路,讓「全國繳費網」的服務範 : 圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。手機版上線後,民眾就可透過手機查 : 詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。 : 「全國繳費網」至今服務項目,已有十二大項、三十八種費用項目,包括了三十二家金融 : 機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三 : 百一十四家學雜費等,超過了一千八百家事業單位的繳費項目,為國內最多樣化的繳費網 : 站。 : 立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現 : 那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹 : 底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證 : 機制,也一定要究責。」 : 5.完整新聞連結 (或短網址): : https://www.ctwant.com/article/48972 : https://www.ctwant.com/article/48973 : https://www.ctwant.com/article/48974 : https://www.ctwant.com/article/48975 : 6.備註: : 今天資安新聞真多 ----- Sent from JPTT on my Google Pixel 3 XL. -- I have a dream, it's silly but beautiful. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.167.71.212 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588635694.A.1AF.html
05/05 07:47, 4年前 , 1F
大神發文,頭香
05/05 07:47, 1F
05/05 07:49, 4年前 , 2F
感謝專業說明!話說是哪家銀行??
05/05 07:49, 2F
05/05 07:50, 4年前 , 3F
驗證轉入方的身份?那是匯款,手續費不同
05/05 07:50, 3F
不懂別瞎扯,驗證跟交易途徑無關。
05/05 07:51, 4年前 , 4F
05/05 07:51, 4F
05/05 07:51, 4年前 , 5F
看起來是三信商銀的鍋
05/05 07:51, 5F
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:51:39
05/05 07:51, 4年前 , 6F
連這個都不知道?
05/05 07:51, 6F
05/05 07:52, 4年前 , 7F
感謝說明~~^_^~~
05/05 07:52, 7F
05/05 07:52, 4年前 , 8F
平台躺著也中槍
05/05 07:52, 8F
05/05 07:52, 4年前 , 9F
去查一下匯款和轉帳的機制差在哪吧
05/05 07:52, 9F
........裝睡的人叫不醒。 ※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:53:28
05/05 07:55, 4年前 , 10F
匯款要解款人姓名,轉帳沒有這機制
05/05 07:55, 10F
唉,有身分證字號跟轉出帳戶,就能讓銀行做是否貸款本人的人別驗證了啦。 拜託,別再裝睡了。 ※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:57:29
05/05 08:00, 4年前 , 11F
不懂裝懂 銀行都是被財政部和公股平台壓著加入財金公司的
05/05 08:00, 11F
05/05 08:00, 4年前 , 12F
系統 那家公司做出來的東西廢到可笑
05/05 08:00, 12F
我說了我沒反對財金公司很爛這件事情啊,但沒有爛到今天新聞的這個程度。 至於銀行被逼著加入,欸說真的,沒人逼的話,銀行自己就會好好乖乖做這件事情嗎? 銀行自己的不思長進又怪別人囉。
05/05 08:02, 4年前 , 13F
轉帳的電文原本就沒有收款人姓名吧
05/05 08:02, 13F
05/05 08:03, 4年前 , 14F
目前有驗收款人姓名的應該只有匯款
05/05 08:03, 14F
05/05 08:04, 4年前 , 15F
手續費完全不同
05/05 08:04, 15F
到底是誰跟你說要驗收款人姓名的,拜託不要自己亂射箭還打歪靶好嗎? 另外驗證不是發生在交易階段,而是在交易階段之前有疊一個驗證程序。 打鄰靶打這麼開心也是一絕。 ※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 08:04:28
05/05 08:05, 4年前 , 16F
如果要較佳的服務,就選擇匯款
05/05 08:05, 16F
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 08:05:55
05/05 08:27, 4年前 , 17F
有道理
05/05 08:27, 17F
05/05 08:28, 4年前 , 18F
這篇被噓下去太快了,我抬一下。
05/05 08:28, 18F
05/05 08:41, 4年前 , 19F
就只有三信銀沒驗啊
05/05 08:41, 19F
05/05 08:48, 4年前 , 20F
看不懂= =
05/05 08:48, 20F
05/05 08:53, 4年前 , 21F
抬一下
05/05 08:53, 21F
05/05 08:56, 4年前 , 22F
我覺得你思考錯方向了。 這筆交易是誰做的比較重要,
05/05 08:56, 22F
限制本人就是為了降低風險啊,即使是盜刷好了,也很難造成實質損失。 在金融圈,真正重要的都是風險的概念。
05/05 09:00, 4年前 , 23F
推 這篇正解
05/05 09:00, 23F
05/05 09:01, 4年前 , 24F
zp01在秀下線嗎? XD
05/05 09:01, 24F
05/05 09:04, 4年前 , 25F
簡單講 就出包銀行 驗證機制沒做好 就這樣....
05/05 09:04, 25F
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 09:04:33
05/05 09:13, 4年前 , 26F
推這篇專業
05/05 09:13, 26F
05/05 09:25, 4年前 , 27F
推推
05/05 09:25, 27F
05/05 10:04, 4年前 , 28F
三x 銀行與財金都發新聞稿是銀行程式錯了修正了
05/05 10:04, 28F
05/05 11:08, 4年前 , 29F
全國繳費網只能繳帳單 不能轉帳 銀行系統照理說收到扣
05/05 11:08, 29F
05/05 11:08, 4年前 , 30F
款通知都要發認證碼吧?! 很明顯就是銀行問題啊
05/05 11:08, 30F
05/05 11:13, 4年前 , 31F
不太對吧 銀行不驗就收 但是你平台把我的要求送出去的耶..
05/05 11:13, 31F
05/05 11:14, 4年前 , 32F
銀行這樣很糟沒錯 但是平台問題比較大吧
05/05 11:14, 32F
所以 browser 把你的需求送出去, 也不先驗就收, browser 最源頭要負最大責任了這樣. 想一下這邏輯差異.
05/05 11:21, 4年前 , 33F
推TonyQ大大
05/05 11:21, 33F
05/05 11:30, 4年前 , 34F
三信銀行問題這麼多?
05/05 11:30, 34F
※ 編輯: TonyQ (114.32.193.226 臺灣), 05/05/2020 11:35:35
05/05 11:40, 4年前 , 35F
這篇中肯! Tony大專業!
05/05 11:40, 35F
05/05 11:58, 4年前 , 36F
內行
05/05 11:58, 36F
05/05 12:24, 4年前 , 37F
推 剛剛嚇死我了
05/05 12:24, 37F
05/05 12:45, 4年前 , 38F
公三小?這樣沒問題 什麼才有問題?
05/05 12:45, 38F
05/05 12:46, 4年前 , 39F
你提供平台讓人嫖妓賭博會沒問題?
05/05 12:46, 39F
所以今天他提供平台讓人嫖妓賭博了嗎? ※ 編輯: TonyQ (114.32.193.226 臺灣), 05/05/2020 12:52:32
05/05 12:54, 4年前 , 40F
想知道一般付款端不用驗證嗎?
05/05 12:54, 40F
05/05 12:54, 4年前 , 41F
收款端沒驗證然後交易成立聽起來程序有點奇怪
05/05 12:54, 41F
05/05 13:24, 4年前 , 42F
你講的沒錯 銀行把關上出了問題
05/05 13:24, 42F
05/05 14:42, 4年前 , 43F
付款端只需驗證付款帳號跟提出人的身分證字號是一致
05/05 14:42, 43F
05/05 14:43, 4年前 , 44F
因為付款端不會知道收款端帳單的實際身分證字號
05/05 14:43, 44F
05/05 15:15, 4年前 , 45F
推 TonyQ 大專業
05/05 15:15, 45F
05/05 15:35, 4年前 , 46F
繳卡費就有限制本人,為什麼貸款就沒有?
05/05 15:35, 46F
05/06 00:59, 4年前 , 47F
幫推
05/06 00:59, 47F
05/06 10:56, 4年前 , 48F
推一個 話說這串的首篇怎麼刪了
05/06 10:56, 48F
更多 TonyQ 的文章
文章代碼(AID): #1UiAWk6l (Gossiping)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文
完整討論串 (本文為第 4 之 5 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 TonyQ 的文章
文章代碼(AID): #1UiAWk6l (Gossiping)