1.媒体来源:
CTWANT
2.记者署名:
谢东明
3.完整新闻标题:
【全国盗领网1】官方缴费平台出包 无密码免验证挪用他人存款
【全国盗领网2】掌握身分证银行帐号 别人帮你缴房贷
【全国盗领网3】手机就可登录操作 存款遭清空都不知道
【全国盗领网4】银行公会主导创建 涵盖1800家企业缴费项目
4.完整新闻内文:
为了节省时间,也为了避免在公司、住家与银行间四处奔波,许多民众都会透过网络付费
平台,缴交例如水费、电费、信用卡费、小孩学费,甚至银行贷款等生活支出。
但由财金资讯公司营运的“全国缴费网”,却爆出重大资安漏洞,只要有心人掌握了个人
身分证字号与银行帐号,就能在手指与鼠标间游移,三十秒内无声无息的让帐户存款乾坤
大挪移。
现代宅经济,让网络线上交易机制成了生活不可或缺的一环。但服务项目超过一千八百家
事业单位的“全国缴费网”,却爆出重大资安危机。有读者爆料,在“缴纳贷款”的项目
里,填上自己的银行帐户号码与缴款金额后,就算填上他人的身分证字号与银行帐号,不
须密码不须验证,也能轻松转帐,盗领他人的存款。
由中华民国银行公会主导,委托财金资讯公司,整合各金融机关与政府公用事业单位,设
立的“全国缴费网”,原本是一个可以让民众,在任何时间、任何地点,就能缴纳各项费
用的线上帐单付款服务平台,各种生活支出,几乎都能在网络平台上一指搞定。
本刊调查,尽管填写资料时,栏目旁也有“使用活期性存款帐户(不须读卡机,且只能缴
本人帐单)”的警语。但填写完资料,尽管缴费方与转帐方不一样,帐户里的存款仍然成
功被转走,民众帐户款项转出后,甚至也不会接获银行通知,在毫不知情下,存款就不见
了,令人觉得十分惊悚。
便利民众缴纳各种生活支出的“全国缴费网”,可能已成为诈欺集团犯案的工具。本刊调
查,其实今年已有案例,小君(化名)自爆,今年三月间接获警方通知,银行存款疑遭盗
领,一度还以为是诈骗电话,但刷卡查证后,帐户里真的少了五万元,让她吓了一跳。
警方深入追查,嫌犯是一名无业的二十六岁赖姓男子,透过他的银行来往纪录,发现竟还
有另外一名被害人,也在三月间分三次被盗领了约十五万余元。赖男在警局供称,盗领存
款的方法,就是透过“全国缴费网”的“缴纳贷款”栏目。而被害人存款被盗领了,甚至
还不知不觉。
警方调查,赖嫌自称在操作全国缴费网时,意外发现系统里的“误区”,在缴纳贷款时,
竟然可以透过他人的帐户帮自己缴费。发现已成立近十六年的“全国缴费网」竟出现了资
安漏洞。更在发现经营房仲业的哥哥,将客户资料带回家整理时,突然产生了犯案的念头
。
赖男趁机从中抄下多名客户资料,再利用抄下的身分证字号和金融帐户,替自己“还债”
。食髓知味的赖男,深入“研究”后又发现,“全国缴费网」存在更大的资安漏洞,只要
透过“缴纳贷款”的选项,就能把他人的金融帐户存款,随意移转到任何一个和“全国缴
费网」合作的金融机构个人帐户,即使不是贷款帐户也可以。
所以,赖男除了偷走了小君的五万元,也分三次“移出」了新北市林姓女子的十五万元存
款。目前警方已深入追查,是否还有其他被害人。
财金公司营运的“全国缴费网”爆发资安漏洞,本刊记者实测电脑版“全国缴费网”,真
的只要掌握别人的身分证字号,就能利用别人的银行帐号,转走帐户里的钱。而且帐户款
项遭转出后,也没有接获银行通知,尤其,“全国缴费网”也有手机版,只要登录就可操
作,让人觉得十分担忧。
本刊记者实测,登入“全国缴费网”后,在缴纳信用卡费或eTag国道电子收费储值、停车
费等项目时,填上非本人的帐号,都显示“交易失败”、“身分证字号或营利事业统一编
号错误”的讯息。确实,只能缴交本人帐单。
不过,在“缴纳贷款”项目里,本刊记者先填上友人的银行帐号与缴款金额,再到下一页
填上自己的身分证字号与银行帐号,按下“确定送出”后,竟显示出交易成功;本刊记者
接着查验彼此的银行帐户,确认交易成功,意谓著“全国缴费网”不须密码验证,就能无
声无息地把别人的存款转到自己的帐户偿还贷款。
此外,本刊记者的帐户款项遭转出后,也没有接获银行通知。萤幕上出现的缴款方式说明
“使用活期性存款帐户(不须读卡机,且只能缴本人帐单)”,看来实在相当讽刺。
记者向财金公司求证,财金公司表示,已立即向接收非本人帐款的银行进行了解并要求立
刻改善,应该只是单一银行电脑作业疏失,会通函金融机构检视相关作业,以确保消费者
权益。
财政部及公、民营金融机构共同出资,筹设的“财金资讯股份有限公司”,原本是财政部
于西元一九八四年以任务编组方式,成立的“金融资讯规划设计小组,到了一九九八年,
报奉行政院核定,这才改制为公司组织。
“全国缴费网”则是西元二○○四年九月由银行公会主导建置示范性网站,由财金公司负
责营运维修,可提供民众即时网上缴费的跨行服务,到了二○一四年更推出手机APP,让
民众可以随时随地上网缴费。
财金公司目前有董事会十五席,代表中央银行的公股就有十一席,民股则有四席,监察人
则有五席,都由国内各银行代表出任。包括自动化服务机器共用,也就是所谓的自动提款
机,例如提款、缴费、转帐、余额查询等跨行服务,行动支付“台湾pay”等,都是财金
公司重要营运项目之一。
至于“全国缴费网”,原为由银行公会主导建置的示范性网站,结合金融机构及事业单位
,初期提供水、电、瓦斯等多项公共事业费用的上网缴费服务,二○○五年七月,“全国
缴费网”正式上线。之后,服务项目越来越多,到了二○一四年,推出手机版的“全国缴
费网APP”,民众可随时随地上网缴费。
财金资讯公司结合其他公用事业单位,整合自动化缴款通路,让“全国缴费网”的服务范
围愈来愈广,迈向即查、即缴、即销的电子化服务。手机版上线后,民众就可透过手机查
询应缴金额,立即进行缴费,而事业单位收到缴费成功通知时,也会马上进行预销作业。
“全国缴费网”至今服务项目,已有十二大项、三十八种费用项目,包括了三十二家金融
机构的信用卡费、五家电信费、七家交通费、十一家公共事业费、二百零七家医疗费、三
百一十四家学杂费等,超过了一千八百家事业单位的缴费项目,为国内最多样化的缴费网
站。
立委曾铭宗痛批,“全国缴费网”由财金资讯公司建构,又是中央银行转投资,如今出现
那么大的漏洞,真的非常可怕。“财金资讯公司的主管机关中央银行与金管会,一定要彻
底调查程式设计与推广流程有无瑕疵,如果一切属实,就要立刻弥补转帐漏洞,增加验证
机制,也一定要究责。”
5.完整新闻连结 (或短网址):
https://www.ctwant.com/article/48972
https://www.ctwant.com/article/48973
https://www.ctwant.com/article/48974
https://www.ctwant.com/article/48975
6.备注:
今天资安新闻真多