[新闻] 下单系统爆“撞库攻击” 三竹声明:与

楼主: gisela514 (菈芬朵)   2021-11-26 18:42:03
原文标题:
券商下单系统爆“撞库攻击” 三竹声明“与之无关”正协助补强交易安全
原文连结:
https://www.ctwant.com/article/152883
发布时间:2021-11-26 18:14
原文内容:
国内元大证券“行动精灵”App海外复委托下单系统,11月25日下午突然出现所谓的“撞
库攻击”网络资安事件,遭骇客取得帐号、密码的顾客,则自动下单买港股“深蓝科技控
股”,券商正委托系统资讯商新增程序,补强交易安全防护力。统一证也通报类似情节,
也因此暂停复委托电子下单。
三竹资讯则发布声明,强调“券商复委托下单系统异常,与三竹资讯无关”。三竹资讯董
事长兼总经理邱宏哲也亲自向CTWANT记者表示,三竹资讯仅是为券商的App设计前台,并
无涉入帐号、密码,而遭到骇客入侵的属于券商负责的中后台端,与三竹资讯设计的系统
完全无关。
元大证“行动精灵”App的海外复委托交易功能,11月25日遭券商主动发现传出遭骇客入
侵的异常下单港股案件之后,紧急关闭改为人工电话下单至今还未恢复,而该系统是委由
三竹资讯为元大证量身订做,其中交易下单的“凭证”登录则非三竹资讯所做,另为元大
证券寻求的合作厂商。
三竹资讯表示,该资安事件可以从两个层面来看,一是骇客如何取得顾客的帐号、密码?
一是下单交易的“凭证”登录的帐号、密码,涉及到使用“生日”为帐密的顾客,是否因
此容易被骇客入侵,而这也就是如外界所推测的“撞库攻击”,骇客从网络上蒐集到民众
常使用的帐号、密码之后,经由多次尝试登录下单金流系统而最后攻击成功。
由于多个“凭证”登录交易,会让民众使用“生日”即可成功登陆,因此此次元大证的“
行动精灵”App海外复委托下单系统,出现异常下单资安事件,遭骇客入侵的系统漏洞真
正原因,还有待元大证调查了解。
目前三竹资讯协助补强元大证的“行动精灵”App的交易防护力,除了原有的“凭证”登
录程序之外,将再新增设计一层的“OTP”(one-time password)短信动态密码的程式,
即是一次性单次有效密码,补强下单交易防护力。
以下为三竹资讯声明全文。
针对媒体报导有关110年11月25日有券商发生港股异常下单案件,为避免社会大众误解,
本公司在此声明此事件与三竹资讯无关,三竹资讯的系统运作一切正常,持续供应稳定服
务给所有客户,呼吁相关人士发文与报导,应善尽查证之责,切勿混淆视听。
经过了解,近期部份券商遭受骇客撞库攻击资安事件频传,即骇客拿网上已经泄露的用户
密码尝试攻击,台湾证券交易所就表示,本月25号下午5点27分已接获元大证券及统一证
券通报资安事件,部分客户帐户遭不明人士冒用,进行复委托下单并成交之情事,元大及
统一证券表示已暂停复委托电子交易,改采人工下单。
对此,三竹资讯对于已发生之事件深表遗憾,同时强调整起骇客事件与三竹资讯毫无关联
。提醒投资人注意,应定期更换投资帐户之密码,以维护自身权益。
心得/评论:
三竹连老板邱老大都出面啦~~讲的很详细内~
所以元大的赔偿......???
三竹:这锅我不背!
作者: cuteSquirrel (松鼠)   2021-11-26 18:43:00
最离谱的是凭证怎么掉的 = =
作者: apolloapollo (apollo)   2021-11-26 19:15:00
猛撞攻击
作者: diogofseixas (傲视人间笑红尘~)   2021-11-26 20:14:00
券商的凭证是笑话啊,输入生日即可取得

Links booklink

Contact Us: admin [ a t ] ucptt.com