看板 Gossiping作者 TonyQ (得理饒人)標題 Re: [新聞] 【全國盜領網1】官方繳費平台出包 無密碼時間 Tue May 5 07:41:30 2020
這件事情跟這篇新聞都很有趣。
我先講我也很討厭財金公司,這間公司搞出不少鳥事,專業程度也很有待改善。
但這個案子我覺得鍋不是他們的,理由是
1. 全國繳費網算是一個 gateway ,
他只是負責提供平台讓繳款跟付款的人兩邊對接。
2. 驗證應該是雙邊驗證的程序,
換言之轉出方要核對接收方的處理,
轉入方也該確保轉入方有驗證到對應的身分。
不然,這系統誰敢用。
3. 這件事情雖然財金公司,
可能要為 protocal 設計不友善負上一點責任,
(我必須說他們找點會設計 api 跟資料流的人好不好,
下略幾萬字。)
但真正的問題顯然在銀行端啊,
銀行端莫名奇妙收錢還不用確認轉帳帳號的身分。
自己實作這類機制還不用把關,反正錢收到就好。
然後現在出事兩手一攤推給財金,
銀行名字隻字不提........
只能說好大的官威。
很多公司都有實作這類存款戶轉線上交易,他們都能做到檢驗本人,
那為什麼這案銀行端該做的沒做,該驗的沒驗,該把關的沒把關。
而且這麼明顯的過失,竟然沒有被揭露銀行名字。
我覺得不是要幫財金公司講話,而是這樣到底是在究三小責。
※ 引述《stre1654 (青笠)》之銘言:
: 1.媒體來源:
: CTWANT
: 2.記者署名:
: 謝東明
: 3.完整新聞標題:
: 【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款
: 【全國盜領網2】掌握身分證銀行帳號 別人幫你繳房貸
: 【全國盜領網3】手機就可登錄操作 存款遭清空都不知道
: 【全國盜領網4】銀行公會主導創建 涵蓋1800家企業繳費項目
: 4.完整新聞內文:
: 為了節省時間,也為了避免在公司、住家與銀行間四處奔波,許多民眾都會透過網路付費
: 平台,繳交例如水費、電費、信用卡費、小孩學費,甚至銀行貸款等生活支出。
: 但由財金資訊公司營運的「全國繳費網」,卻爆出重大資安漏洞,只要有心人掌握了個人
: 身分證字號與銀行帳號,就能在手指與滑鼠間游移,三十秒內無聲無息的讓帳戶存款乾坤
: 大挪移。
: 現代宅經濟,讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家
: 事業單位的「全國繳費網」,卻爆出重大資安危機。有讀者爆料,在「繳納貸款」的項目
: 裏,填上自己的銀行帳戶號碼與繳款金額後,就算填上他人的身分證字號與銀行帳號,不
: 須密碼不須驗證,也能輕鬆轉帳,盜領他人的存款。
: 由中華民國銀行公會主導,委託財金資訊公司,整合各金融機關與政府公用事業單位,設
: 立的「全國繳費網」,原本是一個可以讓民眾,在任何時間、任何地點,就能繳納各項費
: 用的線上帳單付款服務平台,各種生活支出,幾乎都能在網路平台上一指搞定。
: 本刊調查,儘管填寫資料時,欄目旁也有「使用活期性存款帳戶(不須讀卡機,且只能繳
: 本人帳單)」的警語。但填寫完資料,儘管繳費方與轉帳方不一樣,帳戶裏的存款仍然成
: 功被轉走,民眾帳戶款項轉出後,甚至也不會接獲銀行通知,在毫不知情下,存款就不見
: 了,令人覺得十分驚悚。
: 便利民眾繳納各種生活支出的「全國繳費網」,可能已成為詐欺集團犯案的工具。本刊調
: 查,其實今年已有案例,小君(化名)自爆,今年三月間接獲警方通知,銀行存款疑遭盜
: 領,一度還以為是詐騙電話,但刷卡查證後,帳戶裏真的少了五萬元,讓她嚇了一跳。
: 警方深入追查,嫌犯是一名無業的二十六歲賴姓男子,透過他的銀行來往紀錄,發現竟還
: 有另外一名被害人,也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱,盜領存
: 款的方法,就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了,甚至
: 還不知不覺。
: 警方調查,賴嫌自稱在操作全國繳費網時,意外發現系統裏的「誤區」,在繳納貸款時,
: 竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網」竟出現了資
: 安漏洞。更在發現經營房仲業的哥哥,將客戶資料帶回家整理時,突然產生了犯案的念頭
: 。
: 賴男趁機從中抄下多名客戶資料,再利用抄下的身分證字號和金融帳戶,替自己「還債」
: 。食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要
: 透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳
: 費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。
: 所以,賴男除了偷走了小君的五萬元,也分三次「移出」了新北市林姓女子的十五萬元存
: 款。目前警方已深入追查,是否還有其他被害人。
: 財金公司營運的「全國繳費網」爆發資安漏洞,本刊記者實測電腦版「全國繳費網」,真
: 的只要掌握別人的身分證字號,就能利用別人的銀行帳號,轉走帳戶裏的錢。而且帳戶款
: 項遭轉出後,也沒有接獲銀行通知,尤其,「全國繳費網」也有手機版,只要登錄就可操
: 作,讓人覺得十分擔憂。
: 本刊記者實測,登入「全國繳費網」後,在繳納信用卡費或eTag國道電子收費儲值、停車
: 費等項目時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編
: 號錯誤」的訊息。確實,只能繳交本人帳單。
: 不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁
: 填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示出交易成功;本刊記者
: 接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無
: 聲無息地把別人的存款轉到自己的帳戶償還貸款。
: 此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明
: 「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。
: 記者向財金公司求證,財金公司表示,已立即向接收非本人帳款的銀行進行瞭解並要求立
: 刻改善,應該只是單一銀行電腦作業疏失,會通函金融機構檢視相關作業,以確保消費者
: 權益。
: 財政部及公、民營金融機構共同出資,籌設的「財金資訊股份有限公司」,原本是財政部
: 於西元一九八四年以任務編組方式,成立的「金融資訊規劃設計小組,到了一九九八年,
: 報奉行政院核定,這才改制為公司組織。
: 「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站,由財金公司負
: 責營運維修,可提供民眾即時網上繳費的跨行服務,到了二○一四年更推出手機APP,讓
: 民眾可以隨時隨地上網繳費。
: 財金公司目前有董事會十五席,代表中央銀行的公股就有十一席,民股則有四席,監察人
: 則有五席,都由國內各銀行代表出任。包括自動化服務機器共用,也就是所謂的自動提款
: 機,例如提款、繳費、轉帳、餘額查詢等跨行服務,行動支付「台灣pay」等,都是財金
: 公司重要營運項目之一。
: 至於「全國繳費網」,原為由銀行公會主導建置的示範性網站,結合金融機構及事業單位
: ,初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務,二○○五年七月,「全國
: 繳費網」正式上線。之後,服務項目越來越多,到了二○一四年,推出手機版的「全國繳
: 費網APP」,民眾可隨時隨地上網繳費。
: 財金資訊公司結合其他公用事業單位,整合自動化繳款通路,讓「全國繳費網」的服務範
: 圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。手機版上線後,民眾就可透過手機查
: 詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。
: 「全國繳費網」至今服務項目,已有十二大項、三十八種費用項目,包括了三十二家金融
: 機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三
: 百一十四家學雜費等,超過了一千八百家事業單位的繳費項目,為國內最多樣化的繳費網
: 站。
: 立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現
: 那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹
: 底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證
: 機制,也一定要究責。」
: 5.完整新聞連結 (或短網址):
: https://www.ctwant.com/article/48972
: https://www.ctwant.com/article/48973
: https://www.ctwant.com/article/48974
: https://www.ctwant.com/article/48975
: 6.備註:
: 今天資安新聞真多
-----
Sent from JPTT on my Google Pixel 3 XL.
--
I have a dream, it's silly but beautiful.
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.167.71.212 (臺灣)
※ 文章代碼(AID): #1UiAWk6l (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588635694.A.1AF.html
※ 同主題文章:
Re: [新聞] 【全國盜領網1】官方繳費平台出包 無密碼
05-05 07:41 TonyQ
推 LinOne: 感謝專業說明!話說是哪家銀行??2F 05/05 07:49
噓 zp01: 驗證轉入方的身份?那是匯款,手續費不同3F 05/05 07:50
不懂別瞎扯,驗證跟交易途徑無關。
→ TonyQ: 看起來是三信商銀的鍋5F 05/05 07:51
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:51:39
→ zp01: 連這個都不知道?6F 05/05 07:51
推 LinOne: 感謝說明~~^_^~~7F 05/05 07:52
→ zp01: 去查一下匯款和轉帳的機制差在哪吧9F 05/05 07:52
.......裝睡的人叫不醒。
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:53:28
噓 zp01: 匯款要解款人姓名,轉帳沒有這機制10F 05/05 07:55
唉,有身分證字號跟轉出帳戶,就能讓銀行做是否貸款本人的人別驗證了啦。
拜託,別再裝睡了。
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 07:57:29
噓 johnps: 不懂裝懂 銀行都是被財政部和公股平台壓著加入財金公司的系統 那家公司做出來的東西廢到可笑11F 05/05 08:00
我說了我沒反對財金公司很爛這件事情啊,但沒有爛到今天新聞的這個程度。
至於銀行被逼著加入,欸說真的,沒人逼的話,銀行自己就會好好乖乖做這件事情嗎?
銀行自己的不思長進又怪別人囉。
噓 zp01: 轉帳的電文原本就沒有收款人姓名吧
目前有驗收款人姓名的應該只有匯款
手續費完全不同13F 05/05 08:02
到底是誰跟你說要驗收款人姓名的,拜託不要自己亂射箭還打歪靶好嗎?
另外驗證不是發生在交易階段,而是在交易階段之前有疊一個驗證程序。
打鄰靶打這麼開心也是一絕。
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 08:04:28
→ zp01: 如果要較佳的服務,就選擇匯款16F 05/05 08:05
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 08:05:55
推 hiwight: 就只有三信銀沒驗啊19F 05/05 08:41
推 davywangtw: 我覺得你思考錯方向了。 這筆交易是誰做的比較重要,22F 05/05 08:56
限制本人就是為了降低風險啊,即使是盜刷好了,也很難造成實質損失。
在金融圈,真正重要的都是風險的概念。
推 m50blue: zp01在秀下線嗎? XD
簡單講 就出包銀行 驗證機制沒做好 就這樣....24F 05/05 09:01
※ 編輯: TonyQ (118.167.71.212 臺灣), 05/05/2020 09:04:33
推 es8603: 推這篇專業26F 05/05 09:13
--