机敏个资流中国1/资安国安双崩盘!银行券商总体检 惊爆官网竟遭埋SDK
https://www.setn.com/News.aspx?NewsID=1544856
近年来,资安问题成为全球金融市场的焦点,日前多家金融机构因资安漏洞遭金管会开罚
。《三立新闻网》记者接获爆料,一家刚大肆宣传自家获奖的金融机构,其官方网站使用
的数据分析SDK码(备注1),竟源自于一家注册在中国北京市政府的数据公司。进一步调
查全台前十大金融机构后,发现至少3家银行、券商疑似面临相同危机。这次事件凸显台
湾金融机构在资安管理上的重大挑战,尤其该SDK具备强大追踪能力、能蒐集客户交易数
据,若数据回传北京,恐对台湾数据安全与金融机构信誉造成严重影响!《三立新闻网》
记者循线一一追查,并找来了资安专家A大,一同揭露这件原来早就被金融业内精英熟知
,但外界却毫无所悉的极机密内幕!
只见A大熟练地拿出电脑,先是打开最普通的浏览器,输入该家一开始被爆料的金融机构
网址,进入其官网后,再打开后台的应用程式,意外发现网页程式码最底层,藏着一串由
英文字母及数字组成的代码“SensorsData2015jssdkcross”。
看到这串码“sensorsdata2015jssdkcross”,连A大都很震惊,他带着疑惑一边对着《三
立新闻网》的记者:“SensorData的SDK怎么可以埋在这里?!Sensors data是大陆的一
家公司,在我们(资安)业内非常有名。”
A大接着说,虽然跑出来的资料显示,这SDK存放在地端,资料会回传给该金融机构,“但
这串码的背后,有没有被设后门,资料会不会因为后门同步传回北京,这都是很难说的呀
!这家金融机构怎么可以使用由一家北京公司写出来的程式码?这有问题吧!”
开无痕模式 SDK也能追
更可怕的是,当A大展示了这串程式码给记者看后,不经意地说了一句话,记者听完后深
深吸了一口气,整个人甚至起了鸡皮疙瘩。A大说:“这个SDK码,是连在无痕模式下,都
能有效追踪的!”
也就是说,即便你使用“无痕模式”去到银行、证券存汇款或做股市下单交易,同样会被
这家SensorData公司的SDK码追踪到,可以说是完全无处可逃。
A大再打开另一个软件来验证,对应后台跑出来的技术分析之处,其显示出来的公司名称
也仍是Sensors Data,该软件还法楚地把该公司的品牌logo显露出来,是一个绿字写着大
大的S。不只Sensors Data有埋设SDK码,连Google的GA( Google Analytics)也有受托
埋设追踪在此。A大表示:“这很奇怪,既然这家金融机构已经委托了Google,为什么还
要让SensorData的追踪码入列,等于重工了!而且SensorData对台湾来说,又是一间相当
敏感的公司!这两面手法玩得实在让人摸不清头绪!”
《三立新闻网》记者调查,从A大使用的另一个软件验证出来的logo,与中国大陆一家名
叫北京神策的公司logo完全符合,而且该公司于微信(wechat)公众号即为
sensorsdata2015。另,记者也找到了该公司在网络上,教导旗下学员如何将“
sensorsdata2015jssdkcross”应用于cookies的心法教学,并有详细的操控步骤SOP可遵
循。
备注1:所谓的SDK(Software Development Kit,软件开发工具包)是许多网站或应用程
式为了方便进行数据分析而使用的工具,能够收集用户的行为数据,并传回到后台系统进
行分析。全球知名的Google公司,其用来做数据分析的GA,使用的正是SDK追踪码。然而
,这些数据可能不仅仅回传到该金融机构的服务器,还有可能被传回中国境内的服务器,
这对于用户隐私及国家数据安全构成了潜在的重大风险。
--
吐槽点太多了以至于无法分辨是不是反串。