※ 本文轉寄自 ptt.cc 更新時間: 2021-11-26 19:58:23
看板 Stock
作者 標題 [新聞] 系統爆「撞庫攻擊」 三竹:與之無關
時間 Fri Nov 26 18:42:03 2021
原文標題:
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
原文連結:
https://www.ctwant.com/article/152883
發布時間:2021-11-26 18:14
原文內容:
國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞
庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控
股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,
也因此暫停複委託電子下單。
庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控
股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,
也因此暫停複委託電子下單。
三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董
事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並
無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統
完全無關。
事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並
無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統
完全無關。
元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入
侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由
三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大
證券尋求的合作廠商。
侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由
三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大
證券尋求的合作廠商。
三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼?
一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因
此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾
常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。
一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因
此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾
常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。
由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「
行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真
正原因,還有待元大證調查了解。
行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真
正原因,還有待元大證調查了解。
目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登
錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,
即是一次性單次有效密碼,補強下單交易防護力。
錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,
即是一次性單次有效密碼,補強下單交易防護力。
以下為三竹資訊聲明全文。
針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,
本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服
務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。
本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服
務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。
經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶
密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證
券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及
統一證券表示已暫停複委託電子交易,改採人工下單。
密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證
券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及
統一證券表示已暫停複委託電子交易,改採人工下單。
對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯
。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
心得/評論:
三竹連老闆邱老大都出面啦~~講的很詳細內~
所以元大的賠償......???
三竹:這鍋我不背!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.126.97 (臺灣)
※ 文章代碼(AID): #1XeBd-ol (Stock)
※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1637923326.A.CAF.html
※ 編輯: gisela514 (118.163.126.97 臺灣), 11/26/2021 18:42:36
--
推 : 最離譜的是憑證怎麼掉的 = =1F 11/26 18:43
推 : 董事長總經理直接出面說了 與山竹無關 元大:2F 11/26 18:47
→ : 每秒幾千萬上下還要OTP 這下元大要崩了3F 11/26 18:48
推 : 呵呵 ~ 安撫客戶說法 " 都是別人出包! "4F 11/26 18:48
推 : 這個不出手 去管那個桌曆ZZ5F 11/26 18:49
推 : 憑證就用生日來取得的呀 生日都當密碼了6F 11/26 18:49
推 : 跟我預測的一樣XDXDXDXDXDX7F 11/26 18:51
推 : 三竹:欸這鍋我不要揹 你自己背8F 11/26 18:52
→ : OTP 其實安卓手機已經有先例可以被駭客偷了。9F 11/26 18:54
→ : 憑證機制其實也是台灣特產,外國只有 OTP。
→ : 憑證機制其實也是台灣特產,外國只有 OTP。
→ : 乾脆下單 多做一個指紋認證算了xd11F 11/26 18:56
→ : 不可能是撞庫,一般撞庫用的帳密清單是自己取的 ID12F 11/26 18:56
→ : 上面講的密碼用身份證字號比較有可能,要問一下
→ : 受害人是不是都這樣設密碼。
→ : 上面講的密碼用身份證字號比較有可能,要問一下
→ : 受害人是不是都這樣設密碼。
推 : xss 很久以後 針對性吧早上怕被告我把文都刪了XD15F 11/26 18:58
推 : 你提醒文都刪了 我就去備份站看了 這樣會不會被告(16F 11/26 19:00
推 : 還有備份喔?我來找找17F 11/26 19:01
推 : 靠真的有 但是我覺得應該89不離十
推 : 靠真的有 但是我覺得應該89不離十
→ : xss 也要證券商有 web API 給你跨站導過去吧19F 11/26 19:05
→ : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行
→ : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行
推 : 甩鍋21F 11/26 19:05
→ : 結果元大開大 說這些人的密碼都是.....XD22F 11/26 19:07
→ : 不過說真的如果是拿戶政外洩資料的身份證字號和生日23F 11/26 19:07
→ : 去撞庫的,那絕對不可能只有這兩家出事。
→ : 去撞庫的,那絕對不可能只有這兩家出事。
推 : 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的25F 11/26 19:07
→ : 然後配上有人說下單營業員看到適用行動精靈
→ : 然後配上有人說下單營業員看到適用行動精靈
推 : 的確如果只是單純的帳密~不該只有這兩家有問題27F 11/26 19:09
推 : 全推給民眾最簡單囉28F 11/26 19:09
推 : 所以就是被駭客駭了 解釋一堆幹嘛29F 11/26 19:10
→ : 帳密被盜這件事幾乎是肯定的,只是如新聞標題說的是30F 11/26 19:10
→ : 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID
→ : 很難關聯到你的身份證字號。
→ : 基本上應該至少有兩個問題存在:1. 人為流出個資
→ : 2. 後端盲信自己接收到的輸入全部合法。
→ : 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID
→ : 很難關聯到你的身份證字號。
→ : 基本上應該至少有兩個問題存在:1. 人為流出個資
→ : 2. 後端盲信自己接收到的輸入全部合法。
推 : 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你35F 11/26 19:13
→ : 登入進去 想要你輸入生日也很簡單好嗎
→ : 都到手以後 再用行動裝置去登入和裝憑證 就下單了
→ : 登入進去 想要你輸入生日也很簡單好嗎
→ : 都到手以後 再用行動裝置去登入和裝憑證 就下單了
→ : 不管是釣魚還是撞庫,都無法解釋只有這兩家出事啊38F 11/26 19:14
推 : 猛撞攻擊39F 11/26 19:15
→ : 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的40F 11/26 19:16
→ : 帳密去登看起來像元大的網站? 不會啊
→ : 帳密去登看起來像元大的網站? 不會啊
→ : 合理42F 11/26 19:17
→ : 還是你覺得詐騙集團就是要認真為台灣50家券商都做一43F 11/26 19:17
噓 : 唬爛的,明明就資料外洩44F 11/26 19:17
→ : 個網站 顯然不會 要做就挑大的做就好45F 11/26 19:17
推 : 是不是vip戶直接連到後台結果被駭46F 11/26 19:19
→ : 確實這樣是可能的,而且問受害當事人一般也很難記住47F 11/26 19:19
→ : 而且 這根本到國安層級了 券商和廠商再吵也沒意義48F 11/26 19:19
→ : 自己有沒有開過這種網站。但既然搜尋引擎上看不到,49F 11/26 19:19
→ : 那透過簡訊或電子郵件提供網址的可能性就很高,
→ : 那透過簡訊或電子郵件提供網址的可能性就很高,
→ : 我猜 以後大家手機登入下單系統 可能都要先打OTP才51F 11/26 19:20
→ : 能下單了
→ : 能下單了
→ : 事後也容易跟受害人收集到共通點。53F 11/26 19:21
推 : 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些54F 11/26 19:21
→ : 單 幹嘛再增加成本(
→ : 單 幹嘛再增加成本(
→ : 憑證確實是一個很奇怪的東西,外國都是 OTP 而已。56F 11/26 19:23
→ : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度
→ : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度
推 : 綁定手機裝置,FIDO驗證就可以了58F 11/26 19:24
推 : 與之無關…?文言文嗎?59F 11/26 19:28
→ : 下單都要OTP太麻煩了吧,明明是元大自己安全性問題60F 11/26 19:36
推 : 元大週刊王踹共61F 11/26 19:39
推 : 看不懂在寫什麼62F 11/26 19:50
推 : 元大是不是金主阿 直接無視不查63F 11/26 19:51
--
※ 看板: Stock 文章推薦值: 0 目前人氣: 0 累積人氣: 83
回列表(←)
分享