看板 Stock作者 jason2641668 (鋼球智者)標題 [新聞] 港股異常下單事件三竹:毫無關聯系統正常時間 Fri Nov 26 18:21:23 2021
原文標題:
《資訊服務》港股異常下單事件 三竹:毫無關聯、系統運作正常
原文連結:
https://www.chinatimes.com/realtimenews/20211126004007-260410?chdtv
發布時間:
17:392021/11/26
原文內容:
針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,
三竹(8284)聲明此事件與三竹資訊無關,三竹的系統運作一切正常,持續供應穩定服務給
所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。
經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶
密碼嘗試攻擊,臺灣證券交易所表示,本月25號下午5點27分已接獲元大證券及統一證券
通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及統
一證券表示已暫停複委託電子交易,改採人工下單。
對此,三竹對於已發生之事件深表遺憾,
同時強調整起駭客事件與三竹毫無關聯。提醒投
資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
心得/評論: ※必需填寫滿20字
雲裡霧理欸 都說自己沒問題
所以他媽的到底是誰的問題!!!!!!!
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.224.21 (臺灣)
※ 文章代碼(AID): #1XeBKdC- (Stock)
※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1637922087.A.33E.html
※ 編輯: jason2641668 (114.34.224.21 臺灣), 11/26/2021 18:21:53
→ DAEVA: 富貴角抖3F 11/26 18:22
→ tinlans: 撞庫攻擊沒辦法用在證券吧,我在 ptt 用 tinlans
這個帳號駭客怎麼知道我身份證字號或證券帳號?
這樣就算我 ptt 用跟證券一樣的密碼,ptt 被入侵盜走我密碼,他也沒我身份證字號或期貨帳號來撞庫。除非是我 gmail 又用一樣的密碼,駭客登我 gmail
慢慢翻信,而且信件裡有出現我期貨帳號或身份證字號7F 11/26 18:26
→ tinlans: 而且 mobile app 要申請新憑證通常要打出生年月日15F 11/26 18:30
→ Mazu323: 問題是憑證沒有也可以下港股?16F 11/26 18:31
推 NEX4036: 所以到底???踢皮球?17F 11/26 18:31
→ Mazu323: 帳號密碼有了,但沒有憑證應該是不能下單18F 11/26 18:31
→ Caitsithdx: 三竹這件事吞下就等打不完的官司了,出事都算他的?19F 11/26 18:31
→ tinlans: ,雖然不是不能寫程式自動分析信件,但駭客不太有耐20F 11/26 18:31
→ Mazu323: 而且有人是沒開過複委託也被下單21F 11/26 18:31
→ tinlans: 心這樣做,而且現在越來越多人用 2FA 機制登信箱了22F 11/26 18:31
推 snownow: 說起來爐主元大跟統一的重訊呢24F 11/26 18:32
→ tinlans: 比較有可能是三竹只接前端,後端 API server 由證券商自行實作提供給三竹接,然後 API 呼叫方式被分析25F 11/26 18:32
→ tinlans: ,被找到可以繞過憑證的漏洞。但這也解釋不了被害人帳號清單是怎麼來的,怎麼知道這些帳號多少,裡面29F 11/26 18:33
→ Mazu323: 統一證券也有受害者31F 11/26 18:34
→ tinlans: 有足夠的錢能圈存來下複委託。32F 11/26 18:34
推 f204137: 系統沒問題 駭客鑽漏洞才有問題XD 各說各話33F 11/26 18:35
推 snownow: 是說統一證這麼邊緣 股版受害者沒人是這家的34F 11/26 18:35
推 xxlaws: 喔喔 促咪喔35F 11/26 18:35
→ tinlans: 如果真是資安問題,問題源至少會有兩個以上。36F 11/26 18:35
推 hhhomerun: 客戶自己中釣魚網站的機率好像滿高的哦37F 11/26 18:35
推 k798976869: 港股詐騙升級版 直接買 詐騙集團直接僱用駭客喔39F 11/26 18:36
→ tinlans: 被釣魚或者有使用那種能在一個軟體裡打進各家證券帳號密碼來看盤的可能性的確是有。
但要繞過下單憑證檢測機制,或者知道使用者生日在app 裡申請到新憑證,那又是不太可能。
光靠從那種軟體外洩或者釣魚網站收集資料比較難做到40F 11/26 18:36
推 Mazu323: 憑證沒有可以下單,沒開過複委託也被下單
這不只帳號密碼被駭的問題45F 11/26 18:38
推 ggirls: 你忘了台灣戶政資資料2000萬筆漏出.48F 11/26 18:40
→ snownow: 2000萬筆你一筆一筆try嗎...49F 11/26 18:40
→ WTF55665566: 問題應該在憑證檢核機制 肯定有問題 不然就算個資全都露也應該有辦法控管住
而且沒開複委託也能下單 這根本莫名其妙51F 11/26 18:40
推 dark22: 帳密被駭是有可能的 家人用元大25號突然說密碼被鎖 也覺得很奇怪54F 11/26 18:41
推 hong92: 統一也有受害者,元大就可以推託了56F 11/26 18:41
→ ggirls: 如果沒開複委託也被下單,那就呵呵。57F 11/26 18:41
→ tinlans: 戶政資料洩漏也要想辦法關聯到那個人在網路上的常用帳密才行,不然也不能拿來撞庫啊。
而且我記得三次登入失敗鎖定帳號的機制是各家都有。58F 11/26 18:41
→ ggirls: 2000萬身分證應該有生日,就可以申請憑證了。61F 11/26 18:42
→ tinlans: 駭客不太可能拿沒有信心的帳密列表來試。62F 11/26 18:42
→ ggirls: 元大是用身分證當使用者名稱63F 11/26 18:43
推 rwhung: 個資有可能是被某些機構人內部人賣出去。然後有心人士去撈資料64F 11/26 18:43
→ tinlans: 但所謂撞庫常見手法是駭外面一般網站,放後門記帳密,然後做成清單去試其它網站。
或者用釣魚的手法取得帳密做成清單來使用。66F 11/26 18:44
→ rwhung: 所以可能集中在某些券商上(並非一定是券商流出去)69F 11/26 18:44
→ tinlans: 可是手上握有這些清單和戶政資料,要怎麼做關聯?70F 11/26 18:45
推 ggirls: 別執著撞庫。71F 11/26 18:45
推 ph10: 很多軟體根本不是拿公鑰來加密,憑證只是拿來驗證身分證字號72F 11/26 18:45
→ tinlans: 我在其它網站用 tinlans 當登入 ID,證券密碼用一樣,駭客也要有辦法從我這 ID 關聯出我身份證字號。74F 11/26 18:45
→ rwhung: 用撈的啊… 大海撈針(當然是用電腦)76F 11/26 18:46
→ dark22: 家人用的是元大行動精靈77F 11/26 18:46
→ tinlans: 這樣他才能運用外面收集的帳密清單和戶政資料。78F 11/26 18:46
推 metallolly: 大家好 我是will 今天要來說一個金融大盜的故事79F 11/26 18:46
→ rwhung: 如果是資安漏洞,可能連撈不太用80F 11/26 18:47
→ tinlans: 所以我覺得不可能是撞庫,人為跟系統兩者相加產生的81F 11/26 18:51
推 edwardtp: 三竹:跟我有關,怎麼可能只有元大出事82F 11/26 18:51
→ tinlans: 問題比較大。帳戶不可能從 0000000 到 999999 這樣試,應該是有人流出帳號表,然後後端又有漏洞。83F 11/26 18:51
推 neo5277: 跟我預測的一樣XDXDXDXDXDX85F 11/26 18:55
推 OOorc: 元大真無恥欸86F 11/26 18:55
→ tinlans: 下面那篇有人提到很多人密碼也用生日,那的確光用戶政流出資料就能做到登入+申請憑證。87F 11/26 18:58
→ Kostolany: 三竹: 我爛歸爛 但是硬要栽贓給我 我不認!!!!!!!!89F 11/26 18:58
→ neo5277: 怕被告我把文都刪了XD90F 11/26 18:59
推 now99: 有憑證下單為啥會撞庫?94F 11/26 19:20
→ now99: 不可否認的機制做到可否認還是根本沒驗證憑證?96F 11/26 19:21
推 gj942l41l4: 覺得滿怪的 直覺上三竹出問題的機率小
但同時兩家券商中獎的機會也不大..
這真的要查清楚98F 11/26 19:36
推 Castle88654: 不硬怎麼行 直接被說是自己的問題 還被週刊獨家報導103F 11/26 19:44
→ strayfrog: 最有趣的是用三竹的那麼多間,就剛好只有統一跟元大105F 11/26 19:47
推 ndd2: 我是沒錢仔,一點都沒怕到,沒錢怎麼買?106F 11/26 19:48
--