[新聞] 資安國安雙崩盤!銀行券商總體檢 驚爆官網竟遭埋SDK

看板Gossiping作者 (あんた飛ばしすぎ!!)時間1年前 (2024/10/11 11:14), 編輯推噓1(121136)
留言59則, 31人參與, 1年前最新討論串1/1
setn 資安國安雙崩盤!銀行券商總體檢 驚爆官網竟遭埋SDK 財經中心/李宜樺報導 近年來,資安問題成為全球金融市場的焦點,日前多家金融機構因資安漏洞遭金管會開罰。 《三立新聞網》記者接獲爆料,一家剛大肆宣傳自家獲獎的金融機構,其官方網站使用的數 據分析SDK碼(備註1),竟源自於一家註冊在中國北京市政府的數據公司。進一步調查全台 前十大金融機構後,發現至少3家銀行、券商疑似面臨相同危機。這次事件凸顯台灣金融機 構在資安管理上的重大挑戰,尤其該SDK具備強大追蹤能力、能蒐集客戶交易數據,若數據 回傳北京,恐對台灣數據安全與金融機構信譽造成嚴重影響!《三立新聞網》記者循線一一 追查,並找來了資安專家A大,一同揭露這件原來早就被金融業內精英熟知,但外界卻毫無 所悉的極機密內幕! https://attach.setn.com/newsimages/2024/10/11/4845421-PH.jpg
《三立新聞網》記者進入銀行、券商後台內網後,意外發現至少有三家以上的銀行、券商 ,後台被埋入一串SDK追蹤碼「sensorsdata2015jssdkcross」,而這串SDK碼竟與登記在 中國北京的一家數據分析公司有關,與爆料相符。(圖/翻攝自網路) 只見A大熟練地拿出電腦,先是打開最普通的瀏覽器,輸入該家一開始被爆料的金融機構網 址,進入其官網後,再打開後台的應用程式,意外發現網頁程式碼最底層,藏著一串由英文 字母及數字組成的代碼「SensorsData2015jssdkcross」。 看到這串碼「sensorsdata2015jssdkcross」,連A大都很震驚,他帶著疑惑一邊對著《三立 新聞網》的記者:「SensorData的SDK怎麼可以埋在這裡?!Sensors data是大陸的一家公 司,在我們(資安)業內非常有名。」 A大接著說,雖然跑出來的資料顯示,這SDK存放在地端,資料會回傳給該金融機構,「但這 串碼的背後,有沒有被設後門,資料會不會因為後門同步傳回北京,這都是很難說的呀!這 家金融機構怎麼可以使用由一家北京公司寫出來的程式碼?這有問題吧!」 開無痕模式 SDK也能追 更可怕的是,當A大展示了這串程式碼給記者看後,不經意地說了一句話,記者聽完後深深 吸了一口氣,整個人甚至起了雞皮疙瘩。A大說:「這個SDK碼,是連在無痕模式下,都能有 效追蹤的!」 也就是說,即便你使用「無痕模式」去到銀行、證券存匯款或做股市下單交易,同樣會被這 家SensorData公司的SDK碼追蹤到,可以說是完全無處可逃。 A大再打開另一個軟體來驗證,對應後台跑出來的技術分析之處,其顯示出來的公司名稱也 仍是Sensors Data,該軟體還法楚地把該公司的品牌logo顯露出來,是一個綠字寫著大大的 S。不只Sensors Data有埋設SDK碼,連Google的GA( Google Analytics)也有受託埋設追 蹤在此。A大表示:「這很奇怪,既然這家金融機構已經委託了Google,為什麼還要讓 SensorData的追蹤碼入列,等於重工了!而且SensorData對台灣來說,又是一間相當敏感的 公司!這兩面手法玩得實在讓人摸不清頭緒!」 https://attach.setn.com/newsimages/2024/10/11/4845422-PH.jpg
資安專家使用那一個後台驗證軟體查證,分析欄處也跑出Sensors Data,一旁該公司logo ,是一個綠字寫著大大的S,證實為登記在中國北京的一家公司,名叫《神策數據》。( 圖/翻攝自網路) 《三立新聞網》記者調查,從A大使用的另一個軟體驗證出來的logo,與中國大陸一家名 叫北京神策的公司logo完全符合,而且該公司於微信(wechat)公眾號即為 sensorsdata2015。另,記者也找到了該公司在網路上,教導旗下學員如何將「 sensorsdata2015jssdkcross」應用於cookies的心法教學,並有詳細的操控步驟SOP可遵 循。 備註1:所謂的SDK(Software Development Kit,軟體開發工具包)是許多網站或應用程 式為了方便進行數據分析而使用的工具,能夠收集用戶的行為數據,並傳回到後台系統進 行分析。全球知名的Google公司,其用來做數據分析的GA,使用的正是SDK追蹤碼。然而 ,這些數據可能不僅僅回傳到該金融機構的伺服器,還有可能被傳回中國境內的伺服器, 這對於用戶隱私及國家數據安全構成了潛在的重大風險。 https://www.setn.com/News.aspx?NewsID=1544856 資安即國安 但習大大連你各位股票虧多少錢都知道了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.170.163 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1728616482.A.B5C.html
10/11 11:14, 1年前 , 1F
韌性
10/11 11:14, 1F
10/11 11:15, 1年前 , 2F
民眾黨:兩岸一家親
10/11 11:15, 2F
10/11 11:15, 1年前 , 3F
都是親人
10/11 11:15, 3F
10/11 11:15, 1年前 , 4F
SDK是這樣解釋的嗎 喔三粒 那沒事了
10/11 11:15, 4F
10/11 11:15, 1年前 , 5F
開發工具留後門回傳資訊檔很正常不是?
10/11 11:15, 5F
10/11 11:15, 1年前 , 6F
北檢可以跟中共拿到柯文哲的金流ㄇ
10/11 11:15, 6F
10/11 11:20, 1年前 , 7F
標題記得寫三立好嗎免得我還要進來
10/11 11:20, 7F
10/11 11:21, 1年前 , 8F
10/11 11:21, 8F
10/11 11:21, 1年前 , 9F
民進黨喜用非專業人士做專業的事
10/11 11:21, 9F
10/11 11:22, 1年前 , 10F
記者如何進入券商的後台內網?
10/11 11:22, 10F
10/11 11:22, 1年前 , 11F
志不在做事 撈人民血汗而已
10/11 11:22, 11F
10/11 11:22, 1年前 , 12F
蛤,什麼叫埋SDK碼
10/11 11:22, 12F
10/11 11:23, 1年前 , 13F
銀行 券商後台內網就這樣被三粒破解
10/11 11:23, 13F
10/11 11:23, 1年前 , 14F
內網你看得到?
10/11 11:23, 14F
10/11 11:23, 1年前 , 15F
怎麼看怎麼奇怪,銀行券商的後台是隨便
10/11 11:23, 15F
10/11 11:23, 1年前 , 16F
黨媒真的無所不能
10/11 11:23, 16F
10/11 11:24, 1年前 , 17F
可以進入的,還拿電腦連線測試?
10/11 11:24, 17F
10/11 11:24, 1年前 , 18F
會不會是按F12就當作進後台了
10/11 11:24, 18F
10/11 11:25, 1年前 , 19F
數發部:外包、外包 、外包,沒有人比
10/11 11:25, 19F
10/11 11:25, 1年前 , 20F
我更懂外包
10/11 11:25, 20F
10/11 11:26, 1年前 , 21F
我是不信啦!隨便一個人都能進去後台
10/11 11:26, 21F
10/11 11:27, 1年前 , 22F
這是在鬼扯什麼呀 還是要對哪個銀行動手
10/11 11:27, 22F
10/11 11:27, 1年前 , 23F
10/11 11:27, 23F
10/11 11:27, 1年前 , 24F
三立造反嗎?國安很安全
10/11 11:27, 24F
10/11 11:27, 1年前 , 25F
全部外包給中國也沒問題
10/11 11:27, 25F
10/11 11:27, 1年前 , 26F
這就銀行自己埋的追蹤而已啊,要開後
10/11 11:27, 26F
10/11 11:27, 1年前 , 27F
門哪有這麼蠢做在前端
10/11 11:27, 27F
10/11 11:30, 1年前 , 28F
照片上面是永豐金的網誌嗎?
10/11 11:30, 28F
10/11 11:30, 1年前 , 29F
網址*
10/11 11:30, 29F
10/11 11:32, 1年前 , 30F
黨看上那家銀行了嗎?科科
10/11 11:32, 30F
10/11 11:34, 1年前 , 31F
全部都匿名 廠商匿名 爆料匿名 你記者
10/11 11:34, 31F
10/11 11:34, 1年前 , 32F
外行寫新聞就是會鬧笑話 好個內網 笑死
10/11 11:34, 32F
10/11 11:34, 1年前 , 33F
也不去問金融機構 那你這報導到底是啥
10/11 11:34, 33F
10/11 11:34, 1年前 , 34F
意思
10/11 11:34, 34F
10/11 11:36, 1年前 , 35F
唐鳳這垃圾出國玩到下台什麼都沒發現 廢
10/11 11:36, 35F
10/11 11:36, 1年前 , 36F
10/11 11:36, 36F
10/11 11:37, 1年前 , 37F
為什麼記者可以進入銀行卷商後台?
10/11 11:37, 37F
10/11 11:37, 1年前 , 38F
照片上確實是永豐的網址 sinotrade
10/11 11:37, 38F
10/11 11:37, 1年前 , 39F
看起來像券商
10/11 11:37, 39F
10/11 11:40, 1年前 , 40F
SDK原來是這個意思
10/11 11:40, 40F
10/11 11:42, 1年前 , 41F
A大要不要具名啊 看看專家是什麼料
10/11 11:42, 41F
10/11 11:43, 1年前 , 42F
上次某小草只是公開自己寫過哪些系統就被
10/11 11:43, 42F
10/11 11:43, 1年前 , 43F
蠢鳥炒成是資安大漏洞,這次讓非專業的記
10/11 11:43, 43F
10/11 11:43, 1年前 , 44F
者看「內部網路的後台系統」的要叫什麼?
10/11 11:43, 44F
10/11 11:44, 1年前 , 45F
內網如果可以隨便讓人在外面連進去就恐怖
10/11 11:44, 45F
10/11 11:44, 1年前 , 46F
10/11 11:44, 46F
10/11 11:48, 1年前 , 47F
紅共綠共一家親,兩岸共產黨聯手演戲一
10/11 11:48, 47F
10/11 11:48, 1年前 , 48F
起割各自的韭菜
10/11 11:48, 48F
10/11 11:49, 1年前 , 49F
找的什麼鳥資安專家
10/11 11:49, 49F
10/11 11:54, 1年前 , 50F
王道後.看 html page source 就有
10/11 11:54, 50F
10/11 11:55, 1年前 , 51F
什麼青鳥後來..找到的是兩光資安喔
10/11 11:55, 51F
10/11 11:55, 1年前 , 52F
<!-- TODO:神策埋點 目前抓取版本是
10/11 11:55, 52F
10/11 11:55, 1年前 , 53F
<script src="/web/Js/sensorsdata.
10/11 11:55, 53F
10/11 11:58, 1年前 , 54F
哇 這篇內文刷新了好多認知唷 猛
10/11 11:58, 54F
10/11 12:09, 1年前 , 55F
鬼扯製造業
10/11 12:09, 55F
10/11 12:11, 1年前 , 56F
這看起來很像網頁開的捏?
10/11 12:11, 56F
10/11 12:58, 1年前 , 57F
妓者又在不懂裝懂 找的磚家是小學生嗎
10/11 12:58, 57F
10/11 16:27, 1年前 , 58F
專家是體育老師教的嗎 記者不會查證跟智
10/11 16:27, 58F
10/11 16:27, 1年前 , 59F
障一樣
10/11 16:27, 59F
更多 runa2 的文章
文章代碼(AID): #1d29WYjS (Gossiping)