顯示廣告
隱藏 ✕
※ 本文為 DarkerDuck.bbs. 轉寄自 ptt.cc 更新時間: 2014-04-14 00:57:45
看板 Bank_Service
作者 TZUYIC (Celine LoveMeBackToLife)
標題 [新聞] 臺灣網路銀行Heartbleed災情大清查
時間 Sat Apr 12 09:53:49 2014


Ref. http://www.ithome.com.tw/news/86673

使用網路銀行安全嗎?臺灣網路銀行Heartbleed災情大清查

臺灣大部分網路銀行採用OpenSSL1.0.1及OpenSSL1.0.1f版本,所以不受Heartbleed超危
險漏洞影響。

iThome 文/胡瑋佳 2014-04-12 發表

http://tinyurl.com/lmfl49w
[圖]
 

震驚全球網際網路的Heartbleed重大加密傳輸漏洞,於4月8日爆發。近幾天全球網路公司
都處於緊急狀態,試圖修補各服務上的巨大漏洞。但是,究竟為什麼Heartbleed臭蟲令各
金融網站如此聞之色變?


嚴重性在於,Heartbleed臭蟲可以讓網路上任何人讀取到由OpenSSL防護的系統記憶體,
進而取得服務供應商或加密網路流量的金鑰,與使用者的帳號與密碼。攻擊者可藉此竊取
服務或身份驗證內容,並且假冒服務或使用者身份進行線上交易等。例如,民眾經常使用
的Google的Wallet與Yahoo的金融服務皆存在此漏洞,這兩大業者也緊急修補。


臺灣民眾也越來越依賴網路銀行,我們調查臺灣提供網路銀行服務的銀行後發現,大部分
網路銀行沒有採用OpenSSL 1.0.1及OpenSSL 1.0.1f版本,所以不受影響。

*

臺灣網路銀行Heartbleed影響清單

銀行名稱 是否受Heartbleed影響? 他們怎麼說?

兆豐銀行 不受影響               「採用2007年的OpenSSL 0.9.8版,所以不受影響。」

郵局     不受影響               沒有採用OpenSSL 1.0.1版


國泰世華 不受影響               「網路銀行採用微軟沒有採用OpenSSL開放源碼加密
銀行                            安全套件」

滙豐銀行 不受影響               沒有採用OpenSSL

上海商業 不受影響               沒有採用OpenSSL
銀行

彰化六信 不受影響               僅表示不受影響,未說明細節

板信商業 不受影響               僅表示不受影響,未說明細節
銀行


土地銀行 不確定                 「對外網路銀行採用微軟的IIS,所以不受影響,
                                另外,對內網路採用多種OpenSSL版本,目前正在
                                清查是否採用OpenSSL 1.0.1版至1.0.1f版。」

陽信銀行 不回應                 不回應

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.63.17
※ 文章網址: http://www.ptt.cc/bbs/Bank_Service/M.1397267632.A.F80.html
TZUYIC:OpenSSL 史上最嚴重網路臭蟲 Heartbleed Q&A1F 04/12 09:55
TZUYIC:http://www.ithome.com.tw/news/86593
sisters:推3F 04/12 10:19
Anadyomene:請問沒列出的銀行都是確認安全的嗎?4F 04/12 11:39
TZUYIC:沒列出的銀行應該只是記者沒去採訪而已。5F 04/12 11:41
pkuguy:可惜缺了台銀網銀的調查,台銀網銀市占率很高,記者該問。6F 04/12 12:59
krishuang:台灣只有這些銀行嗎?(暈)7F 04/12 15:26
krishuang:測試網站 http://filippo.io/Heartbleed/
imrt:推9F 04/12 16:58
Anadyomene:剛把台銀網路銀行丟去測試 顯示All GOOD10F 04/12 22:31
Fonger:花期 華銀 都OK 肯定是使用老舊IIS的關係11F 04/12 23:15
alex1973:用 Chrome 瀏覽器的人可以裝這個 Chrome extension:12F 04/13 00:00
alex1973:http://ppt.cc/9v92
Chrome Web Store - Chromebleed
[圖]
Displays a warning if the site you are browsing is affected by the Heartbleed bug ...

 
alex1973:只要連的網站還沒有修 Heartbleed 漏洞, 右下角就會跳出14F 04/13 00:01
alex1973:小視窗警告. 我試到目前為止, 我有來往的大約十家網銀都
alex1973:ok.
bxxl:現在測試安全的,不代表之前是安全的,很可能這幾天有問題的17F 04/13 00:22
bxxl:的銀行已經更新了. 但是之前密碼可能已經被偷了.
alex1973:這樣說吧, 如果測試不安全的網站, 就不要在上面輸入任何19F 04/13 00:29
alex1973:私密資料. 如果現在網站安全了, 怕的話就換個密碼吧.
Anadyomene:富邦網銀的測試是顯示dial tcp: i/o timeout21F 04/13 02:02
monkeyqoo:合作金庫也是dial tcp: i/o timeout22F 04/13 08:44
monkeyqoo:郵局顯示write tcp 210.200.26.23:443: broken pipe
monkeyqoo:台新狀抗跟郵局一樣
monkeyqoo:玉山網銀ok 可是玉山證券卻跟郵局一樣
monkeyqoo:華南是heartbleed: timeout
Anadyomene:痾 沒有顯示All GOOD的網銀現階段是該用還是不該用啊?27F 04/13 15:09
hono1:pchome 到現在還不安全...28F 04/13 16:42
alex1973:timeout 的, broken pipe 的都是安全的, 那種要不然是29F 04/13 21:10
alex1973:server 原本就不支援 heartbeat 封包, 要不然就是前端有
alex1973:防火牆擋住
monkeyqoo:感謝大大的解說32F 04/14 00:29

--
※ 看板: Test 文章推薦值: 0 目前人氣: 0 累積人氣: 62 
作者 TZUYIC 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇