setn
资安国安双崩盘！银行券商总体检　惊爆官网竟遭埋SDK
财经中心／李宜桦报导
近年来，资安问题成为全球金融市场的焦点，日前多家金融机构因资安漏洞遭金管会开罚。
《三立新闻网》记者接获爆料，一家刚大肆宣传自家获奖的金融机构，其官方网站使用的数
据分析SDK码（备注1），竟源自于一家注册在中国北京市政府的数据公司。进一步调查全台
前十大金融机构后，发现至少3家银行、券商疑似面临相同危机。这次事件凸显台湾金融机
构在资安管理上的重大挑战，尤其该SDK具备强大追踪能力、能蒐集客户交易数据，若数据
回传北京，恐对台湾数据安全与金融机构信誉造成严重影响！《三立新闻网》记者循线一一
追查，并找来了资安专家A大，一同揭露这件原来早就被金融业内精英熟知，但外界却毫无
所悉的极机密内幕！
https://attach.setn.com/newsimages/2024/10/11/4845421-PH.jpg
《三立新闻网》记者进入银行、券商后台内网后，意外发现至少有三家以上的银行、券商
，后台被埋入一串SDK追踪码“sensorsdata2015jssdkcross”，而这串SDK码竟与登记在
中国北京的一家数据分析公司有关，与爆料相符。（图／翻摄自网络）
只见A大熟练地拿出电脑，先是打开最普通的浏览器，输入该家一开始被爆料的金融机构网
址，进入其官网后，再打开后台的应用程式，意外发现网页程式码最底层，藏着一串由英文
字母及数字组成的代码“SensorsData2015jssdkcross”。
看到这串码“sensorsdata2015jssdkcross”，连A大都很震惊，他带着疑惑一边对着《三立
新闻网》的记者：“SensorData的SDK怎么可以埋在这里？！Sensors data是大陆的一家公
司，在我们（资安）业内非常有名。”
A大接着说，虽然跑出来的资料显示，这SDK存放在地端，资料会回传给该金融机构，“但这
串码的背后，有没有被设后门，资料会不会因为后门同步传回北京，这都是很难说的呀！这
家金融机构怎么可以使用由一家北京公司写出来的程式码？这有问题吧！”
开无痕模式　SDK也能追
更可怕的是，当A大展示了这串程式码给记者看后，不经意地说了一句话，记者听完后深深
吸了一口气，整个人甚至起了鸡皮疙瘩。A大说：“这个SDK码，是连在无痕模式下，都能有
效追踪的！”
也就是说，即便你使用“无痕模式”去到银行、证券存汇款或做股市下单交易，同样会被这
家SensorData公司的SDK码追踪到，可以说是完全无处可逃。
A大再打开另一个软件来验证，对应后台跑出来的技术分析之处，其显示出来的公司名称也
仍是Sensors Data，该软件还法楚地把该公司的品牌logo显露出来，是一个绿字写着大大的
S。不只Sensors Data有埋设SDK码，连Google的GA（ Google Analytics）也有受托埋设追
踪在此。Ａ大表示：“这很奇怪，既然这家金融机构已经委托了Google，为什么还要让
SensorData的追踪码入列，等于重工了！而且SensorData对台湾来说，又是一间相当敏感的
公司！这两面手法玩得实在让人摸不清头绪！”
https://attach.setn.com/newsimages/2024/10/11/4845422-PH.jpg
资安专家使用那一个后台验证软件查证，分析栏处也跑出Sensors Data，一旁该公司logo
，是一个绿字写着大大的S，证实为登记在中国北京的一家公司，名叫《神策数据》。（
图／翻摄自网络）
《三立新闻网》记者调查，从A大使用的另一个软件验证出来的logo，与中国大陆一家名
叫北京神策的公司logo完全符合，而且该公司于微信（wechat）公众号即为
sensorsdata2015。另，记者也找到了该公司在网络上，教导旗下学员如何将“
sensorsdata2015jssdkcross”应用于cookies的心法教学，并有详细的操控步骤SOP可遵
循。
备注1：所谓的SDK（Software Development Kit，软件开发工具包）是许多网站或应用程
式为了方便进行数据分析而使用的工具，能够收集用户的行为数据，并传回到后台系统进
行分析。全球知名的Google公司，其用来做数据分析的GA，使用的正是SDK追踪码。然而
，这些数据可能不仅仅回传到该金融机构的服务器，还有可能被传回中国境内的服务器，
这对于用户隐私及国家数据安全构成了潜在的重大风险。
https://www.setn.com/News.aspx?NewsID=1544856
资安即国安
但习大大连你各位股票亏多少钱都知道了