Fw: [討論] 台新行動帳單居然走 http 協定

看板NetSecurity作者 (不要偷 Q)時間5年前 (2019/02/04 22:19), 5年前編輯推噓5(503)
留言8則, 6人參與, 5年前最新討論串1/1
※ [本文轉錄自 creditcard 看板 #1SLdkJkU ] 作者: bignoob (有我嫩嗎) 看板: creditcard 標題: [討論] 台新行動帳單居然走 http 協定 時間: Sun Feb 3 13:26:36 2019 首先我認為 信用卡帳單應該是極為私密的東西 裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊 上個月不小心在活動登錄時,誤登入台新銀行"行動帳單"的活動 誤登入還好,可以進 PC版台新網銀取消,取消步驟: https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html 但是收到這個行動帳單就覺得不OK了 行動帳單的網址格式如下: http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX v= u= 為兩個參數 點進去之後,輸入身分證字號即可看到帳單 但是 但是 但是 台新居然使用 http 協定 http協定並沒有加密,你傳送和回應的任何東西,在傳輸過程都可以輕易被攔截 網址中的v參數和u參數被知道沒關係 但是你的身分證字號也是明碼在網路上送耶 !!! 許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了 台新居然不知道??? 有申請的人趕快改回電子帳單吧 這個行動帳單,其實已經推行一年多了 一年多了喔 台新整整一年都在用 http 送帳單資訊出去 沒人發現? 不知道 http 嚴重性? 還是 ?_? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.148.130 ※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1549171603.A.B9E.html
02/03 13:35, 5年前 , 1F
這麼狂喔…直接用get接資料
02/03 13:35, 1F
02/03 13:36, 5年前 , 2F
喔喔有點搞錯
02/03 13:36, 2F
02/03 13:40, 5年前 , 3F
http post送你的身分證出去 收你的帳單回來
02/03 13:40, 3F
02/03 13:46, 5年前 , 4F
第一次收到簡訊的時候 還以為詐騙...
02/03 13:46, 4F
02/03 13:46, 5年前 , 5F
行動帳單做的超陽春還80port, 根本大漏洞
02/03 13:46, 5F
02/03 13:56, 5年前 , 6F
智慧好夥伴 真諷刺
02/03 13:56, 6F
02/03 13:56, 5年前 , 7F
基本上有關密碼跟個資都該用https,沒看到https的
02/03 13:56, 7F
02/03 13:56, 5年前 , 8F
我都首先懷疑是詐騙,居然還有銀行會用http,頗恐
02/03 13:56, 8F
02/03 13:56, 5年前 , 9F
02/03 13:56, 9F
02/03 13:58, 5年前 , 10F
可怕
02/03 13:58, 10F
※ 編輯: bignoob (111.82.148.130), 02/03/2019 13:59:53
02/03 14:18, 5年前 , 11F
習慣就好
02/03 14:18, 11F
02/03 14:23, 5年前 , 12F
帳單回傳被人MITM加料,或是被竊聽也很可怕
02/03 14:23, 12F
02/03 14:46, 5年前 , 13F
有誇張到=_=
02/03 14:46, 13F
02/03 15:01, 5年前 , 14F
等下會有人說反正你的個資又不值錢
02/03 15:01, 14F
02/03 15:03, 5年前 , 15F
02/03 15:03, 15F
02/03 15:13, 5年前 , 16F
你的個資又不值錢 拿你的個資要幹嘛?
02/03 15:13, 16F
02/03 15:20, 5年前 , 17F
釣魚成功 傻眼
02/03 15:20, 17F
02/03 15:28, 5年前 , 18F
我都開VPN
02/03 15:28, 18F
02/03 15:29, 5年前 , 19F
反串啦XDDDDD
02/03 15:29, 19F
02/03 15:41, 5年前 , 20F
XDDDD
02/03 15:41, 20F
02/03 15:53, 5年前 , 21F
直接向金管會檢舉 重罰兩晚萬
02/03 15:53, 21F
02/03 15:56, 5年前 , 22F
我也有用台新行動帳單耶,完全不知道那麼可怕!!順便問s1
02/03 15:56, 22F
02/03 15:56, 5年前 , 23F
大,這個為啥會被金管會罰?好奇^^\\
02/03 15:56, 23F
02/03 15:59, 5年前 , 24F
可能是在幫對岸作工
02/03 15:59, 24F
02/03 16:02, 5年前 , 25F
開VPN走http超危險 傳輸資料全部接收
02/03 16:02, 25F
02/03 16:11, 5年前 , 26F
02/03 16:11, 26F
02/03 16:15, 5年前 , 27F
這太扯
02/03 16:15, 27F
02/03 16:17, 5年前 , 28F
02/03 16:17, 28F
02/03 16:19, 5年前 , 29F
02/03 16:19, 29F
02/03 16:43, 5年前 , 30F
who car
02/03 16:43, 30F
02/03 17:26, 5年前 , 31F
文組:??(真心不懂)
02/03 17:26, 31F
02/03 17:32, 5年前 , 32F
真的很瞎,銀行資安這樣搞的
02/03 17:32, 32F
02/03 17:32, 5年前 , 33F
IT 呵呵
02/03 17:32, 33F
02/03 17:35, 5年前 , 34F
っq
02/03 17:35, 34F
02/03 17:44, 5年前 , 35F
紙本帳單也沒有加密(也不保證送達
02/03 17:44, 35F
02/03 18:07, 5年前 , 36F
銀行這種資安程度...
02/03 18:07, 36F
02/03 18:22, 5年前 , 37F
笑死
02/03 18:22, 37F
02/03 18:27, 5年前 , 38F
推高調 那麼大間銀行 應改善
02/03 18:27, 38F
還有 61 則推文
02/04 00:51, 5年前 , 100F
fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一
02/04 00:51, 100F
02/04 00:52, 5年前 , 101F
樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下
02/04 00:52, 101F
02/04 00:53, 5年前 , 102F
巴掉了 BTW ptt也有23跟443之分~
02/04 00:53, 102F
02/04 00:54, 5年前 , 103F
然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!!
02/04 00:54, 103F
02/04 01:21, 5年前 , 104F
誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有
02/04 01:21, 104F
02/04 01:21, 5年前 , 105F
吃https就好了啊 大驚小怪
02/04 01:21, 105F
02/04 01:22, 5年前 , 106F
這真的扯
02/04 01:22, 106F
02/04 01:26, 5年前 , 107F
扯爆
02/04 01:26, 107F
02/04 07:50, 5年前 , 108F
給蘋果日報
02/04 07:50, 108F
02/04 09:10, 5年前 , 109F
高調
02/04 09:10, 109F
02/04 10:17, 5年前 , 110F
高調
02/04 10:17, 110F
02/04 10:56, 5年前 , 111F
台新網銀超爛,爛到我公司戶直接換別家用
02/04 10:56, 111F
02/04 11:34, 5年前 , 112F
太扯了 該換別家了
02/04 11:34, 112F
02/04 11:36, 5年前 , 113F
台新只再乎趕著推出新產品,完全不在乎品質,這還能相信
02/04 11:36, 113F
02/04 11:36, 5年前 , 114F
他嗎?
02/04 11:36, 114F
02/04 13:02, 5年前 , 115F
台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單
02/04 13:02, 115F
02/04 13:02, 5年前 , 116F
超扯
02/04 13:02, 116F
02/04 13:13, 5年前 , 117F
所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢
02/04 13:13, 117F
02/04 13:13, 5年前 , 118F
討報告了
02/04 13:13, 118F
02/04 14:10, 5年前 , 119F
取消能用app嗎 找不到說 還是要從客服?
02/04 14:10, 119F
02/04 14:40, 5年前 , 120F
好險我是軟體白癡看不懂這篇,當作沒事飄過去。
02/04 14:40, 120F
02/04 15:03, 5年前 , 121F
太扯
02/04 15:03, 121F
02/04 15:28, 5年前 , 122F
這個拿去給數聯資安做滲透測試應該滿滿的缺失
02/04 15:28, 122F
02/04 15:29, 5年前 , 123F
get只能傳頁數或日期這種不重要的參數
02/04 15:29, 123F
02/04 15:29, 5年前 , 124F
機敏性資料還是得用POST來傳
02/04 15:29, 124F
02/04 15:32, 5年前 , 125F
另外https還要看標頭有沒有Strict Transport Securit
02/04 15:32, 125F
02/04 15:32, 5年前 , 126F
y
02/04 15:32, 126F
02/04 15:57, 5年前 , 127F
長知識
02/04 15:57, 127F
02/04 16:20, 5年前 , 128F
xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有
02/04 16:20, 128F
02/04 16:20, 5年前 , 129F
誰有興趣? 反正您不在意對吧
02/04 16:20, 129F
02/04 18:16, 5年前 , 130F
高調...扯
02/04 18:16, 130F
※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: CMJ0121 (106.1.224.240), 02/04/2019 22:19:57
02/09 21:33, 5年前 , 131F
實際上還是一堆人不覺得有問題啦
02/09 21:33, 131F
02/10 02:14, 5年前 , 132F
合規檢視...怎麼過的
02/10 02:14, 132F
02/12 10:26, 5年前 , 133F
系統分級把它排掉就好啦
02/12 10:26, 133F
02/22 19:13, 5年前 , 134F
卡版有人回報台新行動帳單已經改成https了,沒想到台新
02/22 19:13, 134F
02/22 19:13, 5年前 , 135F
修正的還蠻快的,感覺還是非常重視資安 至少有重視用戶
02/22 19:13, 135F
02/22 19:13, 5年前 , 136F
的回饋,大家可以看一下自己的帳單有沒有修正~
02/22 19:13, 136F
03/01 17:05, 5年前 , 137F
小弟菜逼八想問這種金流可能走 SHTTP嗎?
03/01 17:05, 137F
03/17 21:04, 5年前 , 138F
台新http很久了,還好我很窮
03/17 21:04, 138F
更多 CMJ0121 的文章
文章代碼(AID): #1SM4eFG1 (NetSecurity)