楼主:
CMJ0121 (请多指教!!)
2019-02-04 22:19:57※ [本文转录自 creditcard 看板 #1SLdkJkU ]
作者: bignoob (有我嫩吗) 看板: creditcard
标题: [讨论] 台新行动帐单居然走 http 协定
时间: Sun Feb 3 13:26:36 2019
首先我认为
信用卡帐单应该是极为私密的东西
里面包含:姓名、卡号末4码、上月消费明细、额度、自动扣缴帐户等资讯
上个月不小心在活动登录时,误登入台新银行"行动帐单"的活动
误登入还好,可以进 PC版台新网银取消,取消步骤:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html
但是收到这个行动帐单就觉得不OK了
行动帐单的网址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX
v=
u=
为两个参数
点进去之后,输入身分证字号即可看到帐单
但是
但是
但是
台新居然使用 http 协定
http协定并没有加密,你传送和回应的任何东西,在传输过程都可以轻易被拦截
网址中的v参数和u参数被知道没关系
但是你的身分证字号也是明码在网络上送耶 !!!
许多浏览器在你使用 http 传输个人私密资讯时都会提示你了
台新居然不知道???
有申请的人赶快改回电子帐单吧
这个行动帐单,其实已经推行一年多了
一年多了喔 台新整整一年都在用 http 送帐单资讯出去
没人发现?
不知道 http 严重性?
还是 ?_?
作者:
a9564208 (YOU OUT!!)
2018-02-03 13:35:00这么狂喔…直接用get接资料喔喔有点搞错
作者:
bignoob (有我嫩嗎)
2018-02-03 13:40:00http post送你的身分证出去 收你的帐单回来
作者:
dil79975 (酱汁呢(′・ω・)*)
2018-02-03 13:46:00第一次收到短信的时候 还以为诈骗...行动帐单做的超阳春还80port, 根本大漏洞
基本上有关密码跟个资都该用https,没看到https的我都首先怀疑是诈骗,居然还有银行会用http,颇恐怖
作者: yoyo930021 (yoyo930021) 2018-02-03 13:58:00
可怕
作者:
ccpz (OoOoOo)
2018-02-03 14:23:00帐单回传被人MITM加料,或是被窃听也很可怕
作者:
osk2 (.)(.)
2018-02-03 15:01:00等下会有人说反正你的个资又不值钱
作者:
lin9753 (乂唔)
2018-02-03 15:03:00扯
作者: fattymoose (moose) 2018-02-03 15:28:00
我都开VPN
作者:
now99 (陈在天)
2018-02-03 15:41:00XDDDD
作者: s1an (vul3m4) 2018-02-03 15:53:00
直接向金管会检举 重罚两晚万
作者:
jommk (寻)
2018-02-03 15:56:00我也有用台新行动帐单耶,完全不知道那么可怕!!顺便问s1大,这个为啥会被金管会罚?好奇^^\\
作者:
ImAllen (Allen)
2018-02-03 16:02:00开VPN走http超危险 传输资料全部接收
作者:
Mazu323 (Mazu)
2018-02-03 16:15:00这太扯
作者:
bignoob (有我嫩嗎)
2018-02-03 16:17:00作者:
rknung (欧比)
2018-02-03 17:26:00文组:??(真心不懂)
作者:
vvind (wind)
2018-02-03 17:32:00真的很瞎,银行资安这样搞的
作者: iamgyfan (人一定要靠自己) 2018-02-03 17:35:00
っq
作者:
timko (timko)
2018-02-03 18:07:00银行这种资安程度...
作者: PoloHuang (黄保罗) 2018-02-03 18:22:00
笑死
作者: choper (天痕·伪乔巴) 2018-02-03 18:27:00
推高调 那么大间银行 应改善
作者:
waloloo (ARIAxヨシノヤ )
2018-02-03 18:40:00还好我用华为分享器不怕
作者:
horusli (horusli)
2018-02-03 18:43:00拿纸本帐单来讲 zzz
作者: iop222456 (iop222456) 2018-02-03 18:50:00
这种资安程度 ...
作者: babypanda (熊猫宝贝) 2018-02-03 18:55:00
get parameter / post
作者: CyBw 2018-02-03 18:57:00
好扯,还好没用行动帐单
作者:
airflow (享受压力)
2018-02-03 19:08:00杜老爷: 危言怂听
作者:
mathrew (Joey)
2018-02-03 19:12:00某名字是地区合并银行 N前年资料传送也是没加密我们公司Gateway还录到密码,跑去问当事人,还真的是笑死
作者: s97051581 (莲子) 2018-02-03 19:13:00
电子帐单应该没这问题吧?
作者: obarisk (OSWALT) 2018-02-03 19:20:00
是真的雷,电子帐单要去开pdf那个
台新连用它们自己的richart申请办卡 都会有不会抛投资料给信用卡部门进行审核的bug解不掉了要说它们资讯处理有多好 我也是呵呵只会道歉 道歉完也不会有任何改进的
作者:
p1587 (小宝)
2018-02-03 20:13:00你说法有错 不管有无SSL封包都是可以被拦截的而不是有https就不会被拦截
作者:
ppc ( )
2018-02-03 20:15:00这种没保护客户资讯的问题可以报金管会
作者:
QQ5566 (哭哭5566)
2018-02-03 20:21:00台湾银行数位,你意外吗?
作者:
bill0205 (善良的小孩没人爱)
2018-02-03 20:26:00http 80port +get 真狂有ssl你就算被拦截也要解得出来啊http和twlnet一样是明码传输 就是裸奔 ssl就是有加密telnet
作者:
youweit (Teng)
2018-02-03 20:29:00这样实在不行
作者:
p1587 (小宝)
2018-02-03 20:32:00没错就算拦到也要能解密 但原PO的说法会让人以为https就不会被拦截 这是错的
作者:
bill0205 (善良的小孩没人爱)
2018-02-03 20:36:00其实还有一点用GET也很危险…
作者: Jmoe (Rin0moe) 2018-02-03 21:14:00
这样敢说智慧好伙伴?
作者: Hecc (来日方长) 2018-02-03 21:58:00
其实get post 在某些人眼中是没有区别啦
作者:
tndh (Nick )
2018-02-03 21:59:00不懂 但是先关再说XD 感谢分享
银行的IT普遍都很废不意外阿 看看App store那堆跟屎一样的银行app就知道
一群正义魔人,以为只有你想的到吗?为什么不直接客诉,要在这里发文?
作者:
bignoob (有我嫩嗎)
2018-02-03 22:19:00还真的只有我想到 谢谢指教 ^_^要在 creditcard 板发文是我的权益 除非违反站规/板规
作者:
prussian (prussian)
2018-02-03 22:59:00说网络银行个资不值钱的,方便公开提供一下您的帐号密码吗。网络时代孩子的教育依然不能等啊。
作者:
bill0205 (善良的小孩没人爱)
2018-02-03 23:23:00个兹很便宜没错 但是不值钱不代表银行可以随便处理客户的个资阿这根本两回事 硬扯在一起
作者:
soyan (Sean)
2018-02-03 23:25:00带键码专用连结+让你用网页表单key身份字号登入…里面只能看基本帐单资讯,好像也没用https的必要啊…看个帐单要不要再帮你两步骤验证一下?
作者:
bill0205 (善良的小孩没人爱)
2018-02-03 23:26:00https重点是封包加密 http则是明码传输
作者:
HMKRL (HMKRL)
2018-02-03 23:29:00至少没有呆到把身份证字号放在query string啦 XDDD
第一次收到行动帐单看到网址没有s完全不想用…后来等pdf寄来
作者: dddanny (dddannyyy) 2018-02-04 00:27:00
有危险的感觉
作者:
jimyan36 (Andrew)
2018-02-04 00:33:00要上新闻才会改吧
作者: cxz123 2018-02-04 00:44:00
我的台新帐单连输入密码都不用,直接打开就看得一清二楚==
作者:
CelicaGT (MESMER)
2018-02-04 00:46:00又有这种个资不值钱论调,我以为来到长辈群组
作者:
Puser (你说说看)
2018-02-04 00:49:00自动扣款没啥在开帐单 因为原po仔细看帐单内容 姓名卡号都有遮 感觉还好 白痴一点连安全码都秀出来就很精采平常不要透过别人的设备(wifi热点 proxy)连网络就好 之前在fb看到中国白帽露一手 就算有https照样取得资料 跟yo叔一样会绕过去取资料(? 从此完全不会想连别人的wifi 真的是下巴掉了 BTW ptt也有23跟443之分~然后 我想看帐单都用他们家的App加指纹办识不用记密码!!!
作者:
xkp74580 (xkp74580)
2018-02-04 01:21:00谁有兴趣无聊看陌生人的帐单有啥 重要的service像网银有吃https就好了啊 大惊小怪
作者:
tonylaio (那是無盡é€æ˜Žçš„æ€å¿µ)
2018-02-04 07:50:00给苹果日报
作者:
sm3489 (废材团结联盟)
2018-02-04 10:56:00台新网银超烂,烂到我公司户直接换别家用
作者: matlab1106 (牛) 2018-02-04 11:34:00
太扯了 该换别家了
台新只再乎赶着推出新产品,完全不在乎品质,这还能相信他吗?
作者: reifind (磊) 2018-02-04 13:02:00
台新网银很棒喔,用好几年了~ 感谢原po我已取消行动帐单
作者:
Shane7 (轩柒)
2018-02-04 13:02:00超扯
所有个资都要加密哦 跟金管会检举资讯部门就要写检讨报告了
作者: kenzoro 2018-02-04 14:10:00
取消能用app吗 找不到说 还是要从客服?
这个拿去给数联资安做渗透测试应该满满的缺失get只能传页数或日期这种不重要的参数机敏性资料还是得用POST来传另外https还要看标头有没有Strict Transport Security
作者:
prussian (prussian)
2018-02-04 16:20:00xkp 那方便分享您的帐单连结或无码帐单吗? 看看有没有谁有兴趣? 反正您不在意对吧
作者: poui0567 (Hm) 2018-02-04 18:16:00
高调...扯
作者:
ym7834 (zero0)
2019-02-12 10:26:00系统分级把它排掉就好啦
作者:
qqq15963 (烧肉烧肉烧肉)
2019-02-22 19:13:00卡版有人回报台新行动帐单已经改成https了,没想到台新修正的还蛮快的,感觉还是非常重视资安 至少有重视用户的回馈,大家可以看一下自己的帐单有没有修正~
作者:
comp2468 (ilikemiku)
2019-03-01 17:05:00小弟菜逼八想问这种金流可能走 SHTTP吗?
作者:
Data000 (Data000)
2019-03-17 21:04:00台新http很久了,还好我很穷