楼主:
CloudJ 2022-07-01 12:59:46昨天将来的某个自称副理还是谁的打给我,讨论这个问题的相关可能性,刚好我也
有一点点资讯底,大概跟他询问一下,他说他从后台来看,整个动作确实都是做了
两次,所以对系统来说,他就是两笔成功的转帐无误。
但我提出的质疑是,如果前端APP这边有误,送出了两笔request,是否在系统上
看起来就会呈现这样的状况呢?我认为合理的一个金融交易应该有session的建立
同一时间应该验证只能有一个session的建立,很显然将来在登入的机制上有做这
样的机制(两个装置同时登入时,前登入的装置会被踢除断线),但在转帐的这个
动作似乎就没有把这样的机制建立起来。而是单纯的app这边验证完后,就把reqeust
送去给他们后台系统了,所以只要后台系统收到两笔看似合理重复的request就会
转帐两笔金额出去。
希望将来能赶快把这个漏洞补起来了,反复的测试一下,大概抓到了bug的发动点
https://youtu.be/2tisdk2thAI
我依稀有一个印象是当时转帐的时候,刚好公司的teams对话跳出来,我点去看了
一下,跟我没关系就跳回原页面继续转帐了,果然看起来问题就是出在这个跳出
去的时间点,如果在启动双因子认证后,APP可能就会把整个转帐request送出去
,但如果刚好在这个时间点切换页面出去再回来后,APP会重新回到转帐流程,
对使用者来说看起来就像是刚刚的转帐没做完,很自然的就会在做一次双因子认
证,于是就出现这种短时间内,重复两笔相同内容的转帐出现了。
大家手贱无聊的,可以找自己的帐户玩看看,可能都会发生。
至于转出去的款项麻....银行那边的说法是不管怎样,都应该是要我这边去跟对
方银行申请协调,或直接跟收款人协调退款,他们没有立场代替使用者去讨这个
钱,即便我一直觉得你系统错误重复转帐,应该是你们去讨,怎么会是我去讨?
不过看起来银行端可能有他们去讨就等于承认他们系统出问题的这种概念吧,所
以即使他们要帮忙讨,也是要我写个委托书(意思是我要讨的不是他门讨的),他
们才能跟对方银行启动这个追回款项的流程这样,想一想自己去讨好像还是快一
点了,不想把事情搞到那么复杂,重点是想厘清到底是系统问题,还是我真的傻
了转了两次自己忘记了这样。
※ 引述《CloudJ ()》之铭言:
: 今天纪录跟对帐的时候发现6/20为什么会有一笔转出的款项转出两次,且时间一致
: (12:13),打电话去客服查询,客服回复是有两笔转帐资讯,分别时间在12:13:31,
: 另一笔在12:13:41。
: 第一,这个不是我常转出的帐号,是一个一个号码打的,能在这么短时间内打两次可能性
: 实在很低。
: 第二,我转帐还有打备注共四个中文字,整个流程,就算我把帐号背起来,都不见得有机
: 会在10秒内完成。
: 所以合理怀疑应该是系统错误重复转帐了,已跟客服联络,现在就看将来要怎么处理了
: ,毕竟钱已经转出去人家帐户了(对方当时也没对帐,只看我截图就觉得应该有转帐了)
: ,我自己当下是有看到转帐通知,但没想过会两笔重复,也没仔细看帐户记录,结果一
: 周后才发现我转出两笔,他收到两笔,未经对方同意直接在他帐户扣款好像也不合理,
: 但如果是将来系统出包重复转帐出去,要我自己去讨回也很奇怪,接下来就看将来要怎
: 么处理了。
作者: s1an (vul3m4) 2022-07-01 13:01:00
直接金管会投诉 让他亲爸爸来电他
作者:
chiyuan (Lin)
2022-07-01 13:22:00就在想说如果重复转成功的情况怎办就有人发生了
作者:
yuenru (有挑戰很好呀)
2022-07-01 13:23:00简单讲 是操作APP过程中断就被认定是转出去了?
作者: a22635434 (天使情缘) 2022-07-01 13:26:00
看起来是画面被中断更新了
作者: snowcreeper (神隐者) 2022-07-01 13:32:00
相同手法重复10次 会产生10笔一样的转出吗
作者:
keyman2 (edge)
2022-07-01 13:32:00reproduce the issue 记得cc一份给老板
作者: snowcreeper (神隐者) 2022-07-01 13:33:00
这个app设计也太烂了
作者:
alloc (韭菜)
2022-07-01 13:35:00是我就直接投诉到底 这么严重的包还要自己去处理 也太雷
作者:
horusli (horusli)
2022-07-01 13:39:00投诉金管会,这种服务品质真的很无言
客户变fae帮忙复制问题 干脆直接给权限开ticket好了
作者:
Ken52039 (Ken Huang)
2022-07-01 13:43:00看起来的确很有可能跳回APP以后又做了一样的转帐
有些网银app短时间重复转帐会跳出提醒弹窗再次确认将来可以把这功能加进去
30秒内转出转入帐号以及金额都一样的rq就应该直接阻挡
作者:
abobstar (Mr.噗噗)
2022-07-01 13:46:00这bug还挺严重的一般APP的使用经验转完一笔 要转下一笔都要重新登打
作者:
robim (胖子)
2022-07-01 13:49:00让客户帮忙debug???也太可笑哈哈哈
作者:
Go2 (勾兔)
2022-07-01 13:51:00人真好 帮忙debug
切,这不关银行的事?真的要去投诉,这已经不是有无防呆的问题了,这设计上的缺失啊。
记得是彰银的PC网银,转帐完马上下一笔完全相同的,会跳出视窗问你,这两笔转帐也是不同的编号。
作者:
chiyuan (Lin)
2022-07-01 14:44:00比较严重的是已经跳出错误讯息了,还转成功,这个超瞎虽然1.3%很吸引人,但想到转帐会失败的可能就有点怕怕的
作者:
lirick42 (卡宾depon)
2022-07-01 15:15:00这已经是重大疏失可以开罚了欸
作者:
BNYMellon (BNYMellon)
2022-07-01 15:56:00真离谱
作者: yuna0327 (yuna) 2022-07-01 15:57:00
忘记是那一家银行,连续快速转两笔钱会跳出提醒视窗"您刚才已转过相同金额xx,是否继续这笔交易" 当时真的觉得这个设计太贴心了,有时候不知道为什么就会按到两次送出
作者: yeh0416 (东哥) 2022-07-01 16:11:00
帮忙debug要付钱啊
作者: justaID (快乐崇拜) 2022-07-01 16:19:00
原po还帮他reproduce,被将来赚到一个免费QA,这个根本就算系统bug,app设计不良造成误导user重复操作转帐,银行端的态度不想认错想卸责,很不ok
作者: yuna0327 (yuna) 2022-07-01 16:24:00
看完影片觉得是设计不够细腻,当使用者跳出再跳回时,应该要多增加转帐成功或失败的画面,不能都不处理停在原画面,会让使用者误导以为没有转成功
作者:
p520888 (Peter Cheng)
2022-07-01 17:05:00这是银行设计问题吧 难道我购物结帐不需要确认吗
作者:
dowbane (咩咩背着羊丸丸)
2022-07-01 18:09:00等一下帮除错该发奖金吧
作者: Kirshoff (与世隔绝) 2022-07-01 18:18:00
转帐给自己还没遇过 找客服请工程师改善看看
作者:
hh800315 (lonetime)
2022-07-01 18:51:0032楼那间是中信
这样操作过程就会转两次我觉得app很有问题..有够雷的,除了转给自己根本不想用了
32楼的大大那个好像大户也有 不知道是2还第3次就跳出来
作者: justaID (快乐崇拜) 2022-07-01 20:33:00
防短时间重复转帐,我记得richart 好像也有
作者:
DDG114514 (AN/SPY-114514)
2022-07-03 01:07:00银行应该要付你Debug 费用
作者: zack2004 (~夜晚的星空~) 2022-07-03 02:03:00
直接投诉金管会了啊
每笔交易要有新的token,token重复就要拒接交易,这点都做不到,不合格的银行
作者:
barkids (solar)
2022-07-03 10:16:00这还能信赖金融交易安全?岂容姑息为了将来好,金管会非常需要知道
作者:
ahjiy (We are X!!!)
2022-07-03 22:10:00这间银行是不是想骗钱吸金,转入没问题,转出就一堆问题
作者: justaID (快乐崇拜) 2022-07-07 12:54:00
感觉是被压下来了,国家队丢不起这个脸