[新聞] 官方繳費平台出包無密碼已刪文

看板creditcard作者wattswatts (挖哩)時間2年前 (2022/01/27 14:45)推噓-17(4推 21噓 8→)

留言33則, 32人參與討論串1/1

標題【全國盜領網1】官方繳費平台出包無密碼 1.媒體來源: CTWANT 2.記者署名: 謝東明 3.完整新聞題: 【全國盜領網1】官方繳費平台出包　無密碼免驗證挪用他人存款【全國盜領網2】掌握身分證銀行帳號　別人幫你繳房貸【全國盜領網3】手機就可登錄操作　存款遭清空都不知道【全國盜領網4】銀行公會主導創建　涵蓋1800家企業繳費項目 4.完整新聞內文: 為了節省時間，也為了避免在公司、住家與銀行間四處奔波，許多民眾都會透過網路付費平台，繳交例如水費、電費、信用卡費、小孩學費，甚至銀行貸款等生活支出。但由財金資訊公司營運的「全國繳費網」，卻爆出重大資安漏洞，只要有心人掌握了個人身分證字號與銀行帳號，就能在手指與滑鼠間游移，三十秒內無聲無息的讓帳戶存款乾坤大挪移。現代宅經濟，讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家事業單位的「全國繳費網」，卻爆出重大資安危機。有讀者爆料，在「繳納貸款」的項目裏，填上自己的銀行帳戶號碼與繳款金額後，就算填上他人的身分證字號與銀行帳號，不須密碼不須驗證，也能輕鬆轉帳，盜領他人的存款。由中華民國銀行公會主導，委託財金資訊公司，整合各金融機關與政府公用事業單位，設立的「全國繳費網」，原本是一個可以讓民眾，在任何時間、任何地點，就能繳納各項費用的線上帳單付款服務平台，各種生活支出，幾乎都能在網路平台上一指搞定。本刊調查，儘管填寫資料時，欄目旁也有「使用活期性存款帳戶（不須讀卡機，且只能繳本人帳單）」的警語。但填寫完資料，儘管繳費方與轉帳方不一樣，帳戶裏的存款仍然成功被轉走，民眾帳戶款項轉出後，甚至也不會接獲銀行通知，在毫不知情下，存款就不見了，令人覺得十分驚悚。便利民眾繳納各種生活支出的「全國繳費網」，可能已成為詐欺集團犯案的工具。本刊調查，其實今年已有案例，小君（化名）自爆，今年三月間接獲警方通知，銀行存款疑遭盜領，一度還以為是詐騙電話，但刷卡查證後，帳戶裏真的少了五萬元，讓她嚇了一跳。警方深入追查，嫌犯是一名無業的二十六歲賴姓男子，透過他的銀行來往紀錄，發現竟還有另外一名被害人，也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱，盜領存款的方法，就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了，甚至還不知不覺。警方調查，賴嫌自稱在操作全國繳費網時，意外發現系統裏的「誤區」，在繳納貸款時，竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網｣竟出現了資安漏洞。更在發現經營房仲業的哥哥，將客戶資料帶回家整理時，突然產生了犯案的念頭。賴男趁機從中抄下多名客戶資料，再利用抄下的身分證字號和金融帳戶，替自己「還債」。食髓知味的賴男，深入「研究」後又發現，「全國繳費網｣存在更大的資安漏洞，只要透過「繳納貸款」的選項，就能把他人的金融帳戶存款，隨意移轉到任何一個和「全國繳費網｣合作的金融機構個人帳戶，即使不是貸款帳戶也可以。所以，賴男除了偷走了小君的五萬元，也分三次「移出｣了新北市林姓女子的十五萬元存款。目前警方已深入追查，是否還有其他被害人。財金公司營運的「全國繳費網」爆發資安漏洞，本刊記者實測電腦版「全國繳費網」，真的只要掌握別人的身分證字號，就能利用別人的銀行帳號，轉走帳戶裏的錢。而且帳戶款項遭轉出後，也沒有接獲銀行通知，尤其，「全國繳費網」也有手機版，只要登錄就可操作，讓人覺得十分擔憂。本刊記者實測，登入「全國繳費網」後，在繳納信用卡費或eTag國道電子收費儲值、停車費等項目時，填上非本人的帳號，都顯示「交易失敗」、「身分證字號或營利事業統一編號錯誤」的訊息。確實，只能繳交本人帳單。不過，在「繳納貸款」項目裡，本刊記者先填上友人的銀行帳號與繳款金額，再到下一頁填上自己的身分證字號與銀行帳號，按下「確定送出」後，竟顯示出交易成功；本刊記者接著查驗彼此的銀行帳戶，確認交易成功，意謂著「全國繳費網」不須密碼驗證，就能無聲無息地把別人的存款轉到自己的帳戶償還貸款。此外，本刊記者的帳戶款項遭轉出後，也沒有接獲銀行通知。螢幕上出現的繳款方式說明「使用活期性存款帳戶（不須讀卡機，且只能繳本人帳單）」，看來實在相當諷刺。記者向財金公司求證，財金公司表示，已立即向接收非本人帳款的銀行進行瞭解並要求立刻改善，應該只是單一銀行電腦作業疏失，會通函金融機構檢視相關作業，以確保消費者權益。財政部及公、民營金融機構共同出資，籌設的「財金資訊股份有限公司」，原本是財政部於西元一九八四年以任務編組方式，成立的「金融資訊規劃設計小組，到了一九九八年，報奉行政院核定，這才改制為公司組織。「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站，由財金公司負責營運維修，可提供民眾即時網上繳費的跨行服務，到了二○一四年更推出手機APP，讓民眾可以隨時隨地上網繳費。財金公司目前有董事會十五席，代表中央銀行的公股就有十一席，民股則有四席，監察人則有五席，都由國內各銀行代表出任。包括自動化服務機器共用，也就是所謂的自動提款機，例如提款、繳費、轉帳、餘額查詢等跨行服務，行動支付「台灣pay」等，都是財金公司重要營運項目之一。至於「全國繳費網」，原為由銀行公會主導建置的示範性網站，結合金融機構及事業單位，初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務，二○○五年七月，「全國繳費網」正式上線。之後，服務項目越來越多，到了二○一四年，推出手機版的「全國繳費網 AP P」，民眾可隨時隨地上網繳費。財金資訊公司結合其他公用事業單位，整合自動化繳款通路，讓「全國繳費網」的服務範圍愈來愈廣，邁向即查、即繳、即銷的電子化服務。手機版上線後，民眾就可透過手機查詢應繳金額，立即進行繳費，而事業單位收到繳費成功通知時，也會馬上進行預銷作業。「全國繳費網」至今服務項目，已有十二大項、三十八種費用項目，包括了三十二家金融機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三百一十四家學雜費等，超過了一千八百家事業單位的繳費項目，為國內最多樣化的繳費網站。立委曾銘宗痛批，「全國繳費網」由財金資訊公司建構，又是中央銀行轉投資，如今出現那麼大的漏洞，真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會，一定要徹底調查程式設計與推廣流程有無瑕疵，如果一切屬實，就要立刻彌補轉帳漏洞，增加驗證機制，也一定要究責。」 5.完整新聞連結 (或短網址): https://www.ctwant.com/article/48972 【全國盜領網1】官方繳費平台出包　無密碼免驗證挪用他人存款 https://www.ctwant.com/article/48973 【全國盜領網2】掌握身分證銀行帳號　別人幫你繳房貸 https://www.ctwant.com/article/48974 【全國盜領網3】手機就可登錄操作　存款遭清空都不知道 https://www.ctwant.com/article/48975 【全國盜領網4】銀行公會主導創建　涵蓋1800家企業繳費項目 6.備註這麼重要的資安新聞怎麼只有八卦版銀行版提到！認帳戶就能扣款的機制真的太方便了方便到存款異常都不知道囧大了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.1.103 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1643265922.A.3D0.html ※ 編輯: wattswatts (180.217.1.103 臺灣), 01/27/2022 14:47:53

→

w71023

01/27 14:48, 2年前 , 1^F

01/27 14:48, 1^F

→

temu2015

01/27 14:53, 2年前 , 2^F

01/27 14:53, 2^F

推

mx5021

01/27 14:57, 2年前 , 3^F

01/27 14:57, 3^F