Fw: [讨论] 台新行动帐单居然走 http 协定 CMJ0121 PTT批踢踢实业坊

Fw: [讨论] 台新行动帐单居然走 http 协定

楼主: CMJ0121 (请多指教!!) 2019-02-04 22:19:57

※ [本文转录自 creditcard 看板 #1SLdkJkU ]
作者: bignoob (有我嫩吗) 看板: creditcard
标题: [讨论] 台新行动帐单居然走 http 协定
时间: Sun Feb 3 13:26:36 2019
首先我认为
信用卡帐单应该是极为私密的东西
里面包含:姓名、卡号末4码、上月消费明细、额度、自动扣缴帐户等资讯
上个月不小心在活动登录时，误登入台新银行"行动帐单"的活动
误登入还好，可以进 PC版台新网银取消，取消步骤:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html
但是收到这个行动帐单就觉得不OK了
行动帐单的网址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX
v=
u=
为两个参数
点进去之后，输入身分证字号即可看到帐单
但是
但是
但是
台新居然使用 http 协定
http协定并没有加密，你传送和回应的任何东西，在传输过程都可以轻易被拦截
网址中的v参数和u参数被知道没关系
但是你的身分证字号也是明码在网络上送耶 !!!
许多浏览器在你使用 http 传输个人私密资讯时都会提示你了
台新居然不知道???
有申请的人赶快改回电子帐单吧
这个行动帐单，其实已经推行一年多了
一年多了喔台新整整一年都在用 http 送帐单资讯出去
没人发现?
不知道 http 严重性?
还是 ?_?

作者: a9564208 (YOU OUT!!) 2018-02-03 13:35:00

这么狂喔…直接用get接资料喔喔有点搞错

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 13:40:00

http post送你的身分证出去收你的帐单回来

作者: dil79975 (酱汁呢(′・ω・)*) 2018-02-03 13:46:00

第一次收到短信的时候还以为诈骗...行动帐单做的超阳春还80port, 根本大漏洞

作者: molsmopuim (超硬) 2018-02-03 13:56:00

智慧好伙伴真讽刺

作者: karta1083880 (superbear) 2018-02-03 13:56:00

基本上有关密码跟个资都该用https，没看到https的我都首先怀疑是诈骗，居然还有银行会用http，颇恐怖

作者: yoyo930021 (yoyo930021) 2018-02-03 13:58:00

可怕

作者: evilisnear (Evilisnear) 2018-02-03 14:18:00

习惯就好

作者: ccpz (OoOoOo) 2018-02-03 14:23:00

帐单回传被人MITM加料，或是被窃听也很可怕

作者: bookticket (XD) 2018-02-03 14:46:00

有夸张到=_=

作者: osk2 (．)(．) 2018-02-03 15:01:00

等下会有人说反正你的个资又不值钱

作者: lin9753 (乂唔) 2018-02-03 15:03:00

扯

作者: lianpig5566 (家庭教师杀手里包恩) 2018-02-03 15:13:00

你的个资又不值钱拿你的个资要干嘛？

作者: videoproblem (影片问题) 2018-02-03 15:20:00

钓鱼成功傻眼

作者: fattymoose (moose) 2018-02-03 15:28:00

我都开VPN

作者: lianpig5566 (家庭教师杀手里包恩) 2018-02-03 15:29:00

反串啦XDDDDD

作者: now99 (陈在天) 2018-02-03 15:41:00

XDDDD

作者: s1an (vul3m4) 2018-02-03 15:53:00

直接向金管会检举重罚两晚万

作者: jommk (寻) 2018-02-03 15:56:00

我也有用台新行动帐单耶，完全不知道那么可怕！！顺便问s1大，这个为啥会被金管会罚？好奇^^\\

作者: sleepinggod (别再幻想了) 2018-02-03 15:59:00

可能是在帮对岸作工

作者: ImAllen (Allen) 2018-02-03 16:02:00

开VPN走http超危险传输资料全部接收

作者: jackloutter (WithoutReason) 2018-02-03 16:11:00

推

作者: Mazu323 (Mazu) 2018-02-03 16:15:00

这太扯

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 16:17:00

补上证明： https://i.imgur.com/4YIE73n.jpg https://i.imgur.com/iIxmbrj.jpg

作者: WindSucker (抽风者) 2018-02-03 16:43:00

who car

作者: rknung (欧比) 2018-02-03 17:26:00

文组：？？（真心不懂）

作者: vvind (wind) 2018-02-03 17:32:00

真的很瞎，银行资安这样搞的

作者: asdfghjklasd (好累的大一生活) 2018-02-03 17:32:00

IT 呵呵

作者: iamgyfan (人一定要靠自己) 2018-02-03 17:35:00

っq

作者: a08155556 (Jason) 2018-02-03 17:44:00

纸本帐单也没有加密(也不保证送达

作者: timko (timko) 2018-02-03 18:07:00

银行这种资安程度...

作者: PoloHuang (黄保罗) 2018-02-03 18:22:00

笑死

作者: choper (天痕·伪乔巴) 2018-02-03 18:27:00

推高调那么大间银行应改善

作者: fbifxxkma (FBI帅哥恐吓騜) 2018-02-03 18:36:00

文组：你在说啥东东?

作者: lalalalaluk (luk) 2018-02-03 18:39:00

夸张这样我都不太敢用台新的 app了

作者: waloloo (ARIAxヨシノヤ ) 2018-02-03 18:40:00

还好我用华为分享器不怕

作者: horusli (horusli) 2018-02-03 18:43:00

拿纸本帐单来讲 zzz

作者: iop222456 (iop222456) 2018-02-03 18:50:00

这种资安程度 ...

作者: babypanda (熊猫宝贝) 2018-02-03 18:55:00

get parameter / post

作者: jin062900 (jin) 2018-02-03 18:55:00

好扯…

作者: CyBw 2018-02-03 18:57:00

好扯，还好没用行动帐单

作者: airflow (享受压力) 2018-02-03 19:08:00

杜老爷: 危言怂听

作者: mathrew (Joey) 2018-02-03 19:12:00

某名字是地区合并银行 N前年资料传送也是没加密我们公司Gateway还录到密码，跑去问当事人，还真的是笑死

作者: s97051581 (莲子) 2018-02-03 19:13:00

电子帐单应该没这问题吧？

作者: obarisk (OSWALT) 2018-02-03 19:20:00

是真的雷，电子帐单要去开pdf那个

作者: cooji74115 (酷子先生) 2018-02-03 19:50:00

台新连用它们自己的richart申请办卡都会有不会抛投资料给信用卡部门进行审核的bug解不掉了要说它们资讯处理有多好我也是呵呵只会道歉道歉完也不会有任何改进的

作者: p1587 (小宝) 2018-02-03 20:13:00

你说法有错不管有无SSL封包都是可以被拦截的而不是有https就不会被拦截

作者: ppc ( ) 2018-02-03 20:15:00

这种没保护客户资讯的问题可以报金管会

作者: QQ5566 (哭哭5566) 2018-02-03 20:21:00

台湾银行数位，你意外吗？

作者: bill0205 (善良的小孩没人爱) 2018-02-03 20:26:00

http 80port +get 真狂有ssl你就算被拦截也要解得出来啊http和twlnet一样是明码传输就是裸奔 ssl就是有加密telnet

作者: youweit (Teng) 2018-02-03 20:29:00

这样实在不行

作者: p1587 (小宝) 2018-02-03 20:32:00

没错就算拦到也要能解密但原PO的说法会让人以为https就不会被拦截这是错的

作者: bill0205 (善良的小孩没人爱) 2018-02-03 20:36:00

其实还有一点用GET也很危险…

作者: shiro920 (白白) 2018-02-03 20:39:00

用80port好危险

作者: Jmoe (Rin0moe) 2018-02-03 21:14:00

这样敢说智慧好伙伴？

作者: pig6033666 (im4x) 2018-02-03 21:25:00

智障好伙伴

作者: Hecc (来日方长) 2018-02-03 21:58:00

其实get post 在某些人眼中是没有区别啦

作者: tndh (Nick ) 2018-02-03 21:59:00

不懂但是先关再说XD 感谢分享

作者: eric10902 (育) 2018-02-03 21:59:00

银行的IT普遍都很废不意外阿看看App store那堆跟屎一样的银行app就知道

作者: t78973677 (iis) 2018-02-03 22:17:00

一群正义魔人，以为只有你想的到吗？为什么不直接客诉，要在这里发文？

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 22:19:00

还真的只有我想到谢谢指教 ^_^要在 creditcard 板发文是我的权益除非违反站规/板规

作者: believe91326 (阿淳) 2018-02-03 22:57:00

台新网银也是男用

作者: prussian (prussian) 2018-02-03 22:59:00

说网络银行个资不值钱的，方便公开提供一下您的帐号密码吗。网络时代孩子的教育依然不能等啊。

作者: bill0205 (善良的小孩没人爱) 2018-02-03 23:23:00

个兹很便宜没错但是不值钱不代表银行可以随便处理客户的个资阿这根本两回事硬扯在一起

作者: soyan (Sean) 2018-02-03 23:25:00

带键码专用连结+让你用网页表单key身份字号登入…里面只能看基本帐单资讯，好像也没用https的必要啊…看个帐单要不要再帮你两步骤验证一下？

作者: bill0205 (善良的小孩没人爱) 2018-02-03 23:26:00

https重点是封包加密 http则是明码传输

作者: HMKRL (HMKRL) 2018-02-03 23:29:00

至少没有呆到把身份证字号放在query string啦 XDDD

作者: HeIIoWorId (塌奇拉蓬蓬) 2018-02-03 23:43:00

第一次收到行动帐单看到网址没有s完全不想用…后来等pdf寄来

作者: dddanny (dddannyyy) 2018-02-04 00:27:00

有危险的感觉

作者: jimyan36 (Andrew) 2018-02-04 00:33:00

要上新闻才会改吧

作者: cxz123 2018-02-04 00:44:00

我的台新帐单连输入密码都不用，直接打开就看得一清二楚==

作者: CelicaGT (MESMER) 2018-02-04 00:46:00

又有这种个资不值钱论调,我以为来到长辈群组

作者: Puser (你说说看) 2018-02-04 00:49:00

自动扣款没啥在开帐单因为原po仔细看帐单内容姓名卡号都有遮感觉还好白痴一点连安全码都秀出来就很精采平常不要透过别人的设备(wifi热点 proxy)连网络就好之前在fb看到中国白帽露一手就算有https照样取得资料跟yo叔一样会绕过去取资料(? 从此完全不会想连别人的wifi 真的是下巴掉了 BTW ptt也有23跟443之分~然后我想看帐单都用他们家的App加指纹办识不用记密码!!!

作者: xkp74580 (xkp74580) 2018-02-04 01:21:00

谁有兴趣无聊看陌生人的帐单有啥重要的service像网银有吃https就好了啊大惊小怪

作者: Raymond0710 (雷门) 2018-02-04 01:22:00

这真的扯

作者: eric525498 (艾瑞克我肆酒吧) 2018-02-04 01:26:00

扯爆

作者: tonylaio (é‚£æ˜¯ç„¡ç›¡é€æ˜Žçš„æ€å¿µ) 2018-02-04 07:50:00

给苹果日报

作者: lookat1205 (go to 台北) 2018-02-04 09:10:00

高调

作者: peiningyu (arpi) 2018-02-04 10:17:00

高调

作者: sm3489 (废材团结联盟) 2018-02-04 10:56:00

台新网银超烂，烂到我公司户直接换别家用

作者: matlab1106 (牛) 2018-02-04 11:34:00

太扯了该换别家了

作者: CJ100Lin (微笑工头) 2018-02-04 11:36:00

台新只再乎赶着推出新产品，完全不在乎品质，这还能相信他吗？

作者: reifind (磊) 2018-02-04 13:02:00

台新网银很棒喔,用好几年了~ 感谢原po我已取消行动帐单

作者: Shane7 (轩柒) 2018-02-04 13:02:00

超扯

作者: apple841027j (苒冉) 2018-02-04 13:13:00

所有个资都要加密哦跟金管会检举资讯部门就要写检讨报告了

作者: kenzoro 2018-02-04 14:10:00

取消能用app吗找不到说还是要从客服？

作者: yangyush001 (yangyush001) 2018-02-04 14:40:00

好险我是软件白痴看不懂这篇，当作没事飘过去。

作者: tomap41017 (绝梦) 2018-02-04 15:03:00

太扯

作者: ChungLi5566 (中坜56哥) 2018-02-04 15:28:00

这个拿去给数联资安做渗透测试应该满满的缺失get只能传页数或日期这种不重要的参数机敏性资料还是得用POST来传另外https还要看标头有没有Strict Transport Security

作者: aromagreen (green) 2018-02-04 15:57:00

长知识

作者: prussian (prussian) 2018-02-04 16:20:00

xkp 那方便分享您的帐单连结或无码帐单吗? 看看有没有谁有兴趣? 反正您不在意对吧

作者: poui0567 2018-02-04 18:16:00

高调...扯

作者: holishing 2019-02-09 21:33:00

实际上还是一堆人不觉得有问题啦

作者: a9601268787 (SoHentai) 2019-02-10 02:14:00

合规检视...怎么过的

作者: ym7834 (zero0) 2019-02-12 10:26:00

系统分级把它排掉就好啦

作者: qqq15963 (烧肉烧肉烧肉) 2019-02-22 19:13:00

卡版有人回报台新行动帐单已经改成https了，没想到台新修正的还蛮快的，感觉还是非常重视资安至少有重视用户的回馈，大家可以看一下自己的帐单有没有修正~

作者: comp2468 (ilikemiku) 2019-03-01 17:05:00

小弟菜逼八想问这种金流可能走 SHTTP吗?

作者: Data000 (Data000) 2019-03-17 21:04:00

台新http很久了，还好我很穷

继续阅读

Fw: [新闻] 史上“最大规模”7.73亿笔电子邮件帐密遭CMJ0121 [问题] email被加注gsn suspected spamslex [揪团] 资策会ISO27002资讯安全管理国际认证班fanthony [情报] 购票App遭“天才骇客”诈款20万！高铁硬起来CMJ0121 Re: [问题] 租屋房东只提供无线网络？会被监视吗？CMJ0121 [问题] 租屋房东只提供无线网络？会被监视吗？easylunch [情报] 物联网时代下将卷起全新的资安风暴gechion [问题] 请问还有办法在firefox安装Tamper dataallenhw [0Day] Laravel CVE-2018-15133CMJ0121 [问题] 一题CTFfinal01