看板 Gossiping作者 stre1654 (青笠)標題 [新聞] 【全國盜領網1】官方繳費平台出包 無密碼時間 Mon May 4 21:07:39 2020
1.媒體來源:
CTWANT
2.記者署名:
謝東明
3.完整新聞標題:
【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款
【全國盜領網2】掌握身分證銀行帳號 別人幫你繳房貸
【全國盜領網3】手機就可登錄操作 存款遭清空都不知道
【全國盜領網4】銀行公會主導創建 涵蓋1800家企業繳費項目
4.完整新聞內文:
為了節省時間,也為了避免在公司、住家與銀行間四處奔波,許多民眾都會透過網路付費
平台,繳交例如水費、電費、信用卡費、小孩學費,甚至銀行貸款等生活支出。
但由財金資訊公司營運的「全國繳費網」,卻爆出重大資安漏洞,只要有心人掌握了個人
身分證字號與銀行帳號,就能在手指與滑鼠間游移,三十秒內無聲無息的讓帳戶存款乾坤
大挪移。
現代宅經濟,讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家
事業單位的「全國繳費網」,卻爆出重大資安危機。有讀者爆料,在「繳納貸款」的項目
裏,填上自己的銀行帳戶號碼與繳款金額後,就算填上他人的身分證字號與銀行帳號,不
須密碼不須驗證,也能輕鬆轉帳,盜領他人的存款。
由中華民國銀行公會主導,委託財金資訊公司,整合各金融機關與政府公用事業單位,設
立的「全國繳費網」,原本是一個可以讓民眾,在任何時間、任何地點,就能繳納各項費
用的線上帳單付款服務平台,各種生活支出,幾乎都能在網路平台上一指搞定。
本刊調查,儘管填寫資料時,欄目旁也有「使用活期性存款帳戶(不須讀卡機,且只能繳
本人帳單)」的警語。但填寫完資料,儘管繳費方與轉帳方不一樣,帳戶裏的存款仍然成
功被轉走,民眾帳戶款項轉出後,甚至也不會接獲銀行通知,在毫不知情下,存款就不見
了,令人覺得十分驚悚。
便利民眾繳納各種生活支出的「全國繳費網」,可能已成為詐欺集團犯案的工具。本刊調
查,其實今年已有案例,小君(化名)自爆,今年三月間接獲警方通知,銀行存款疑遭盜
領,一度還以為是詐騙電話,但刷卡查證後,帳戶裏真的少了五萬元,讓她嚇了一跳。
警方深入追查,嫌犯是一名無業的二十六歲賴姓男子,透過他的銀行來往紀錄,發現竟還
有另外一名被害人,也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱,盜領存
款的方法,就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了,甚至
還不知不覺。
警方調查,賴嫌自稱在操作全國繳費網時,意外發現系統裏的「誤區」,在繳納貸款時,
竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網」竟出現了資
安漏洞。更在發現經營房仲業的哥哥,將客戶資料帶回家整理時,突然產生了犯案的念頭
。
賴男趁機從中抄下多名客戶資料,再利用抄下的身分證字號和金融帳戶,替自己「還債」
。食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要
透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳
費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。
所以,賴男除了偷走了小君的五萬元,也分三次「移出」了新北市林姓女子的十五萬元存
款。目前警方已深入追查,是否還有其他被害人。
財金公司營運的「全國繳費網」爆發資安漏洞,本刊記者實測電腦版「全國繳費網」,真
的只要掌握別人的身分證字號,就能利用別人的銀行帳號,轉走帳戶裏的錢。而且帳戶款
項遭轉出後,也沒有接獲銀行通知,尤其,「全國繳費網」也有手機版,只要登錄就可操
作,讓人覺得十分擔憂。
本刊記者實測,登入「全國繳費網」後,在繳納信用卡費或eTag國道電子收費儲值、停車
費等項目時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編
號錯誤」的訊息。確實,只能繳交本人帳單。
不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁
填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示出交易成功;本刊記者
接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無
聲無息地把別人的存款轉到自己的帳戶償還貸款。
此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明
「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。
記者向財金公司求證,財金公司表示,已立即向接收非本人帳款的銀行進行瞭解並要求立
刻改善,應該只是單一銀行電腦作業疏失,會通函金融機構檢視相關作業,以確保消費者
權益。
財政部及公、民營金融機構共同出資,籌設的「財金資訊股份有限公司」,原本是財政部
於西元一九八四年以任務編組方式,成立的「金融資訊規劃設計小組,到了一九九八年,
報奉行政院核定,這才改制為公司組織。
「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站,由財金公司負
責營運維修,可提供民眾即時網上繳費的跨行服務,到了二○一四年更推出手機APP,讓
民眾可以隨時隨地上網繳費。
財金公司目前有董事會十五席,代表中央銀行的公股就有十一席,民股則有四席,監察人
則有五席,都由國內各銀行代表出任。包括自動化服務機器共用,也就是所謂的自動提款
機,例如提款、繳費、轉帳、餘額查詢等跨行服務,行動支付「台灣pay」等,都是財金
公司重要營運項目之一。
至於「全國繳費網」,原為由銀行公會主導建置的示範性網站,結合金融機構及事業單位
,初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務,二○○五年七月,「全國
繳費網」正式上線。之後,服務項目越來越多,到了二○一四年,推出手機版的「全國繳
費網APP」,民眾可隨時隨地上網繳費。
財金資訊公司結合其他公用事業單位,整合自動化繳款通路,讓「全國繳費網」的服務範
圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。手機版上線後,民眾就可透過手機查
詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。
「全國繳費網」至今服務項目,已有十二大項、三十八種費用項目,包括了三十二家金融
機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三
百一十四家學雜費等,超過了一千八百家事業單位的繳費項目,為國內最多樣化的繳費網
站。
立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現
那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹
底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證
機制,也一定要究責。」
5.完整新聞連結 (或短網址):
https://www.ctwant.com/article/48972
https://www.ctwant.com/article/48973
https://www.ctwant.com/article/48974
https://www.ctwant.com/article/48975
6.備註:
今天資安新聞真多
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.44.174 (臺灣)
※ 文章代碼(AID): #1Ui1ETFI (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588597661.A.3D2.html
※ 同主題文章:
[新聞] 【全國盜領網1】官方繳費平台出包 無密碼
05-04 21:07 stre1654.
推 now99: 這個真的超扯,一堆人相信只能自己帳單扣自己帳戶1F 05/04 21:09
→ ch333: 沉寂已久的IT高手 終於出手了4F 05/04 21:09
→ QBey: 系統連身分證都不對的5F 05/04 21:10
→ ECZEMA: 生化病毒因防中共而沒大泛濫 結果電腦病毒早就全台淪陷6F 05/04 21:10
推 mn435: 感覺像順便把所有的包壓力釋放 反正有中油在前面7F 05/04 21:10
→ james732: 我之前還想說銀行帳戶公開沒關係除非有人想轉錢給我9F 05/04 21:11
→ ECZEMA: 生化病毒靠優秀國民防疫 電腦病毒卻一堆技術低落的網管??10F 05/04 21:11
推 purplebfly: 繳信用卡時的確要本人帳戶,所以會理解成繳貸也可以,但這遲早會被抓啊..貸款是誰的,不是一抓就知道了嗎?12F 05/04 21:12
推 aij: 這篇網軍就不敢來亂了。反正出包不是政府的包?17F 05/04 21:14
推 ymuit: 嗯嗯..不過推記者實驗得證18F 05/04 21:14
推 mmx9797: 查查看公司是不是設在台北市21F 05/04 21:15
推 xxxg00w0: 幹這三洨資安..........22F 05/04 21:17
→ qaz12453: 網站可以做到別人的錢是我的 我的錢還是我的 真是厲害23F 05/04 21:19
推 XXXXLINDA: 幹
幫高調 這個每個月繳費都要用耶 幹26F 05/04 21:21
推 WLR: J三小,做系統的直接拖出去算了28F 05/04 21:21
→ XXXXLINDA: 這個很有名啊 全國繳費網 政府推的29F 05/04 21:21
推 P7700: 政府這種水準還敢推數位身份證 可憐哪30F 05/04 21:22
推 siopp: 我試過繳信用卡是不行,結果貸款那有洞!31F 05/04 21:22
推 cp296633: 太靠北了吧 出這種包工程師可以切腹了35F 05/04 21:24
→ seeback: 哇塞貸款可以叫別人幫自己繳?我想貸款惹36F 05/04 21:25
推 chucky: 這太糟糕了吧38F 05/04 21:25
→ cp296633: 還好林北以前網拍賣二手都走第三方虛擬帳號39F 05/04 21:25
推 neo5277: 找人頭去代你線索就斷了啊41F 05/04 21:27
推 losage: 扯爆了。嚇死人43F 05/04 21:27
→ cp296633: 露天隨便去下標有銀行匯款的賣家 下標帳號就SHOW出來45F 05/04 21:28
推 jasop: 幫高調 我有用過...46F 05/04 21:29
推 flyslam: 這漏洞也太大了吧,笑死47F 05/04 21:29
推 eric112: 這個不是相同身分證字號的才能繳嗎51F 05/04 21:33
推 katyping: 靠 我剛才用這網站繳費.....54F 05/04 21:34
推 seto1224: 友人後來有把錢還回去給記者嗎?56F 05/04 21:34
推 feywen: 哪個智障寫的程式58F 05/04 21:36
推 dnek: 這麼離譜的漏洞居然現在才發現66F 05/04 21:40
推 cash1019: 我國泰信用卡就是用這個繳,第一次我就覺得怪怪的,填完身分證字號跟帳戶就繳款了..本來想用朋友帳戶去測試,後來忘記了,看來真的連身分證字號都不能給別人了!67F 05/04 21:40
推 llzzyy01: 這也太扯 以後電子貨幣和支付誰敢用70F 05/04 21:40
推 MBAR: 好誇張…71F 05/04 21:41
推 Ilat: 所以就算沒用過這東西 被別人掌握身分證字號和銀行帳戶一樣73F 05/04 21:42
推 m18624331: 還是紙本帳單安全 到超商吹冷氣爽爽繳費74F 05/04 21:42
→ Ilat: 會被盜走錢嗎?75F 05/04 21:42
→ Puye: 真的扯 難怪有人會不信任 背後的安全性誰敢信76F 05/04 21:42
→ Puye: 現在這個社會這麼多地方需要個資 誰知道什麼時候會流出78F 05/04 21:43
噓 q14721472: 說還好的有事嗎? 想想上班就要提供帳戶+身分證80F 05/04 21:44
→ lastroom: 會同時知道你的身分證字號跟帳戶的 不就你的就職公司82F 05/04 21:44
→ KJC1004: 這個當初架系統的工程師嫌疑超他媽大 還不快去找83F 05/04 21:44
→ jojomaan: 我用好幾年了,去年開始才轉手機支付,有夠爛的84F 05/04 21:44
推 Ilat: 身分證字號+銀行帳戶這點程度的個資很容易給其他人掌握吧85F 05/04 21:44
→ Puye: 只需要帳戶跟身分證號碼 簡單太多了87F 05/04 21:45
→ jojomaan: 拍賣網站都有呀這兩組資料呀,然後拍賣網的個資 呵90F 05/04 21:45
→ KJC1004: 一群北七以為要個資洩漏才會有事 媽的來個暴力嘗試所有ID組合全部一起被盜啦92F 05/04 21:46
推 yorurin: 幹有用過+1 啊不就還好我戶頭自己繳完就沒錢了哈哈哈...嗚嗚嗚嗚94F 05/04 21:46
推 Ilat: 有些處理資料不嚴謹的公司 員工紙本資料隨便都往外丟 我就在我家住辦社區垃圾回收的地方看到一疊員工資料被當廢紙回收96F 05/04 21:47
推 vovhsin: 之前測試過繳朋友的卡費,無法轉成功啊!莫非現在可以?99F 05/04 21:48
推 YeaPa: 真的扯,不過難得記者有實驗精神101F 05/04 21:48
推 Ilat: 說不定寫個暴力組合機器人程式暴力嘗試就可以偷遍全台帳戶105F 05/04 21:49
推 huabandd: 不只全國繳費網 我也遇過其他系統不對身分證的106F 05/04 21:50
推 jupei: 幹 我都用這繳卡費
是說盜領跟我們用不用這個沒關係110F 05/04 21:52
推 kurtsgm: ....這有點誇張113F 05/04 21:55
→ cp296633: 很多家網銀是可以繳別人的帳單 但是你要有帳密114F 05/04 21:55
→ jojomaan: 這水準還想購代收錢,噁心115F 05/04 21:55
→ cp296633: 這個連帳密都免了 只要身分證字號和存款帳號= = 不同人116F 05/04 21:55
→ jiajia1 …
噓 jiajia1: 哪家廠商太扯了吧117F 05/04 21:56
→ jojomaan: 我以後都用銀行繳了,不會再用這種平台118F 05/04 21:56
推 Oxhorn: 前不久才說要身分證和一些個資文件電子化 恩...119F 05/04 21:56
推 ihfreud: 垃圾水準,工讀生負責123F 05/04 22:01
推 wucrhow: 說還好的一定以為那些資料很難拿126F 05/04 22:08
推 keyman2: 可...可惡,現在才知道還來得及嗎QQ127F 05/04 22:09
推 jang99: 太扯 這邊竟然沒被推爆128F 05/04 22:11
推 boyofwind: 財金公司到底查出原因跟修正漏洞了沒,那個回應令人
不安倍增129F 05/04 22:12
推 aij: 我相信政府的平台欸,結果政府資安都是出這種包,太扯了
以後誰敢相信政府啊,幹132F 05/04 22:13
推 sincere77: 顏色正確,政府幫你充值台灣信仰而已135F 05/04 22:16
推 aij: 沒有蟑螂敢推這篇,反而一直發文洗掉這篇136F 05/04 22:16
推 Burnamm: 這篇記者寫得不錯,資訊很完整~值得稱讚137F 05/04 22:18
推 teata: 政府的平台 呵呵139F 05/04 22:19
推 uco330: 發大財 $_$140F 05/04 22:19
推 aij: 這篇比蔡宜芳、衛生紙囤貨重要多了,結果沒啥人推142F 05/04 22:23
我想詐騙集團應該很傻眼吧
何苦辛苦打電話、找車手去ATM領錢,用全國繳費網不是更快嗎
※ 編輯: stre1654 (118.169.90.139 臺灣), 05/04/2020 22:25:44
→ Human2003: 公家機關的資訊資安就是爛 年年花大錢維護更新 依然趕不上時下的科技技術144F 05/04 22:25
→ ssccg: 是說曾銘宗自己之前不就是金管會主委148F 05/04 22:27
推 marksky: 可憐娜,應該被害人不少150F 05/04 22:29
推 Reflection11: 真的要高調..之前用這繳電話費就覺得很神奇
想不到貸款還能直接轉別人戶頭的錢,而且那回應有151F 05/04 22:29
推 fdac: 推155F 05/04 22:31
財金公司可是擔下推動open banking(開放銀行)三階段的重責大任
還是說這是開放銀行的超前部署?
要推開放銀行,結果是這種資安水準....太可怕了
https://0rz.tw/0FK6Z
開放API服務第一階段提供「公開資料查詢」,內容以非交易面金融資訊為主,舉凡台外
幣存款利率、外幣匯率、分行及ATM據點、理財商品、信用卡等貸款產品資訊皆包含在內
,並持續規劃第二階段「消費者資訊查詢」
與第三階段「交易面資訊」,制定符合銀行實
務及產業需求相關技術與資安標準,強化開放API機制,期能提供更多元的普惠及便民服
務。
※ 編輯: stre1654 (118.169.90.139 臺灣), 05/04/2020 22:34:57
推 mojia: 金管會到底在做什麼? 養肥貓都不用做事嗎?159F 05/04 22:34
推 leoz69927: 超扯有身分證字號跟銀行帳號裡面餘額無限轉帳160F 05/04 22:34
※ 編輯: stre1654 (118.169.90.139 臺灣), 05/04/2020 22:35:42
→ leoz69927: 詐騙集團還要去詐騙這個去買個資就好了162F 05/04 22:35
→ leoz69927: 你沒用過也是會被盜轉喔去買銀行盜賣的個資幫你轉帳165F 05/04 22:36
※ cp296633:轉錄至看板 Bank_Service 05/04 22:37
推 boyofwind: 請問金管會到底在哪裡?有漏洞了人呢168F 05/04 22:39
推 aij: 高調169F 05/04 22:41
推 taurus1981: 以為支那才會發生這種事,原來在綠共執政下台灣也會發生170F 05/04 22:41
推 tml1203: 真的有點誇張,會讓人懷疑帳號是不是偷偷被扣款過。173F 05/04 22:42
→ k44754 …
推 k44754: 菸黨的金管會主委,都沒金融專業了:)174F 05/04 22:43
推 marknm: 唐鳳勒?175F 05/04 22:44
→ luiGiF: 呵呵 都麻是使用者在找bug啊 IT寫完哪有空測試 忙載片啦180F 05/04 22:46
推 marknm: 1450最近真的難打......182F 05/04 22:48
推 Ryo5566: 這葛看是哪個替死鬼要被電到飛天了186F 05/04 22:53
推 shi21: 金管會還不趕快給我查起來187F 05/04 22:54
→ s860134: 問題是有些人不會看帳單,或是沒對帳習慣188F 05/04 22:54
→ s860134: 被盜刷都不知道,有些老人是一年才刷一次簿子的咧190F 05/04 22:55
推 a7708101: 手機APP和LINE BOT通知銀行帳戶活動狀況很重要啊~193F 05/04 23:01
推 monar: 財金公司不意外 被公股養得肥肥的 技術各種落後194F 05/04 23:01
→ zoin: 這個太誇張....196F 05/04 23:02
推 ps1: 問題是一下就能追到了轉給誰不是很清楚嗎198F 05/04 23:03
推 cuteyy: 這超扯!程式安全機制與監管都出大問題!200F 05/04 23:04
推 Ilat: 這個真正猛 沒用過沒聽過的一樣躲不掉
只要有身分證字號+銀行帳戶就有機會被洗劫一空201F 05/04 23:04
推 Ilat: 我還真的是看這篇才知道有這東西 搞不好明天我的積蓄就被領走了206F 05/04 23:07
推 jtch: 一堆人閱讀能力有問題嗎 不是有沒有用過的問題
身分證字號跟銀行帳戶 只要流出就能被轉走209F 05/04 23:08
推 ptta: 太誇張了 金管會在幹嘛211F 05/04 23:09
推 aij: 老實說,批踢踢很多版有在交易的,多半都是用本人的銀行帳戶萬一又又剛好知道身分證字號,這樣就可以拿走存款了212F 05/04 23:10
→ jtch: 繳卡費的有驗證機制 繳貸款的沒有 我剛看了 不過有限額214F 05/04 23:11
推 geniew: 超扯,我都用這個繳手機費耶217F 05/04 23:14
推 Ilat: 這還不像帳號密碼被盜用還可以改密碼保住 身分證字號和銀行帳戶是要怎麼換 只能把錢全領出來放身上了218F 05/04 23:15
→ catherine213: 幫家人在全國繳費網繳過費,自己不敢用,查費用居然只要輸資料不用驗證就一清二楚……消費管道跟金額全部都是個資,居然不用驗證,隨便一個人有你的資料就能查225F 05/04 23:25
推 mmchen: 超扯,台灣pay不知道有沒有問題233F 05/04 23:32
推 guanrulee: 什麼還好 跟那又沒關 只要有人知道你身分證加帳號
就可以轉走你的錢 跟你有沒有用過沒關235F 05/04 23:35
推 romber: 誇張爆…再次證明政府的資安就是笑話…這種資安要推萬用數位身分證…我真的怕237F 05/04 23:37
推 s870196: 幫高調,感覺超危險的。我實在不太信任多合一的東西…239F 05/04 23:38
噓 poi4158: 說到底哥哥是房仲把信用卡資料放在家人可以看到的地方本身就有問題了 根本信用卡盜刷而已240F 05/04 23:42
推 znkrr: 這個扯爆了242F 05/04 23:44
推 romber: 一些公會、政府窗口、購物網站員工等等,只要你給過身分證跟銀行帳號,經手的人都能盜你的存款243F 05/04 23:44
推 yufat: 不意外啦 還好從來沒用過248F 05/04 23:49
→ guanrulee: 這沒用過也一樣 哪裡還好 一堆沒看清楚新聞的?249F 05/04 23:52
推 pillliq: 一人10元就上億了沒人會發現250F 05/04 23:52
噓 seanidiot: 曾銘宗你自己曾經是金管會主委,結果什麼屁也沒發現251F 05/04 23:54
推 tom1990: 這個很嚴重,財金資訊公司也太垃圾……252F 05/04 23:56
推 lfi: 這包太扯了 基本驗證都沒做259F 05/05 00:08
噓 wfs00321: 這個讓我聯想到有個叫moneybook的app還直接把user的網260F 05/05 00:10
→ Mood310400: 一堆文盲 跟你有沒有用過有啥關係
知道你身分證字號+帳戶就可以盜領了 管你有沒有用過261F 05/05 00:14
推 rainlinix: 只有繳納貸款的時候...難怪我那時候想繳我妹不成功263F 05/05 00:15
→ Mood310400: 而且只要知道你資料 不用去貸款 也能拿你的錢264F 05/05 00:16
噓 HookWorm: 在那邊趁機批鬥民進黨的 知道繳費網是國民黨時期弄的嗎中國黨的曾銘宗當年還是金管會主委喔 呵呵 廢物藍蛆265F 05/05 00:20
推 cklan: e04 我都用這個耶267F 05/05 00:23
→ dslite: 其實不是BUG 就是把關太簡單 有身分證就夠了268F 05/05 00:23
--