[問題] 麻布使用海外IP登入網銀?

作者: inthepeace (peace)   2021-12-03 09:17:56
今天早上發現我的中信 玉山 永豐 聯邦被登入網頁版銀行,其中玉山顯示非台灣IP異常登
入,嚇得我馬上改密碼。
後來想一下,這幾個帳戶之前有拿來試用看看麻布記帳,登入一看果然如此
我覺得有疑慮的點是,為何會使用海外IP登入?總覺得這樣風險太高了吧
還有我以為在我登入按同步才會登入我的網銀查詢,結果居然會自動同步,如果忘了這件事
,很容易讓人以為是被盜… 像我今天這樣
所以記帳還是自己勤奮點就好… 以防真的被盜,還以為是麻布正常登入,錯失救帳號的黃
金時間
目前已全部改密碼,並且刪除App,提供各位參考
今日玉山異常登入
https://i.imgur.com/oQKm70j.png
永豐 聯邦 中信也有登入通知
https://i.imgur.com/lZDbUIF.png
https://i.imgur.com/DL3rd5F.png
https://i.imgur.com/846G04x.png
查詢麻布,確實是麻布登的(已改密碼,所以登入失敗)
https://i.imgur.com/bDuImRC.png
作者: temu2015 (TEMU2015)   2021-12-03 09:21:00
你沒有買自動同步嗎
作者: GGMouseKing (柴犬、黑貓與史萊姆)   2021-12-03 09:22:00
因為伺服器用GCP吧
作者: temu2015 (TEMU2015)   2021-12-03 09:24:00
http://i.imgur.com/Dq6aDr3.jpg 麻布目前有免費一周同步一次,不知您是否曾經設定該功能?麻布登入紀錄可以到通知區比對麻布的登入時間。
作者: kkkk1234 (k_k_k_k)   2021-12-03 09:26:00
ip 問題麻布有寫 https://bit.ly/3plK1Oy現在每週免費一次自動同步https://i.imgur.com/hb1oO9h.png
作者: temu2015 (TEMU2015)   2021-12-03 09:27:00
作者: inthepeace (peace)   2021-12-03 09:27:00
自動同步要買喔?!這我就不太知道了,因為我試用完之後,沒辦法完整覆蓋我全部的銀行跟投資,還不如我自己記。所以後來就沒繼續研究了
作者: temu2015 (TEMU2015)   2021-12-03 09:28:00
目前連保險加密貨幣TD都有了你這樣只是刪APP而已,下周如果自動同步你會收到一堆登入錯誤的通知。應該要移除帳號退出會員。
作者: inthepeace (peace)   2021-12-03 10:00:00
感謝回覆,我目前已經將自動同步關閉,並且刪除帳號了
作者: abccbaandy (敏)   2021-12-03 11:04:00
在意風險還用麻布...
作者: shangclock (shang-)   2021-12-03 11:23:00
每天固定時間自動更新,然後每天去Mail刪警告信,最主要的帳戶沒綁,其他有信用卡跟貸款的都綁,覺得不錯痾自己記得特定時段會有幾封警告信就好
作者: gottsuan (ごっつぁんです)   2021-12-03 11:45:00
自願把帳號密碼給第三方程式代理登入網銀的會在意風險?
作者: now99 (陳在天)   2021-12-03 11:53:00
有合規open bank不合作,還繼續爬蟲
作者: tornado1621 (Addio)   2021-12-03 11:58:00
脫褲子放屁 笑死
作者: BNYMellon (BNYMellon)   2021-12-03 12:05:00
要打網銀帳密然後還要花錢,這種App我才不用
作者: temu2015 (TEMU2015)   2021-12-03 12:22:00
目前只有TD是授權同步 其他還是代理 然後不一定要付費
作者: p1234891 (aaa0101zzz)   2021-12-03 15:12:00
麻布我自己也有在用 金管會有監管 應該是不用怕 但會有疑慮的還是不要用好了
作者: HMKRL (HMKRL)   2021-12-03 16:57:00
就是GCP開在海外而已 這樣伺服器比較便宜
作者: shangclock (shang-)   2021-12-03 17:05:00
其實是不用花錢也能自動更新,只是不想它倒才付費
作者: Lomonosov (羅蒙諾索夫院士)   2021-12-03 17:17:00
那些ip你去查全部都是GCP的啦這app現階段就是給有能力自己評估風險的人用的我是綁銀行 不綁證券 供參考
作者: Noobungas (蠢九龜兒子)   2021-12-03 20:43:00
app需要更新的地方還很多帳戶互轉錢就不會分類,真笨
作者: now99 (陳在天)   2021-12-03 21:10:00
沒法規時候去爬蟲還說的過,有法規了還爬蟲?挑戰安控基準?
作者: temu2015 (TEMU2015)   2021-12-03 21:29:00
要是麻布有什麼重大違法缺失早就被釘到死了 哪能活到現在
作者: prussian (prussian)   2021-12-03 21:38:00
哪個安控基準有限制這個?
作者: tomap41017 (絕夢)   2021-12-04 00:18:00
銀行API真的能用?呵
作者: BNYMellon (BNYMellon)   2021-12-04 00:20:00
安全?要輸入的密碼都不安全好嗎。而且資料放在國外,是要叫人怎麼安心?金管會有規定喔,本土落地的金融機構,用戶資料必須放在國內,ㄤ
作者: dryob (dryob)   2021-12-04 01:52:00
GCP有台灣機房啊 只是有時候IP會被判定成美國
作者: shaoleo (...)   2021-12-04 02:38:00
放心吧,沒出事以前都是安全的...
作者: temu2015 (TEMU2015)   2021-12-04 08:57:00
人家資料放在彰濱資料中心啊……看一下kkkk1234附的連結
作者: sggs (請到consumer爬文)   2021-12-04 09:12:00
你以為網銀密碼權限很大嗎xd反正怕就不要用
作者: dip987 (dip987)   2021-12-04 09:47:00
刪掉最好,不懂就別碰
作者: Ted11 (JimmyLu)   2021-12-04 12:35:00
目前為止,我是覺得蠻方便的,持續使用中。
作者: tino9808 (怕黑的人終究要自己關燈)   2021-12-04 15:38:00
大驚小怪
作者: Beah (Trionychidae)   2021-12-05 00:40:00
網銀帳密給外人知道也只能轉約轉是會怎樣?
作者: BNYMellon (BNYMellon)   2021-12-05 01:31:00
很多銀行只要密碼就可以換匯、買基金、綁ApplePay
作者: whocare96   2021-12-05 02:08:00
樓上綁Apple pay 都還要卡號跟otp 認證吧
作者: BNYMellon (BNYMellon)   2021-12-05 05:55:00
樓上,直接從網銀內綁ApplePay不需要卡號和OTP。
作者: temu2015 (TEMU2015)   2021-12-05 06:24:00
請問電腦網頁版網銀可以綁AP嗎
作者: whocare96   2021-12-05 08:52:00
想請問樓上上是哪間網銀,我用過玉山app加apple pay,不用卡號但一定要otp ,金管會對重要交易都會要求兩項以上安控,不太可能只靠認證密碼就做完綁定交易
作者: temu2015 (TEMU2015)   2021-12-05 09:34:00
麻布爬的是網頁版,網頁版做不到的事情麻布都做不到。
作者: Lomonosov (羅蒙諾索夫院士)   2021-12-05 11:19:00
@now99 可以給一下是哪一部法在規範這些東西嗎?
作者: BNYMellon (BNYMellon)   2021-12-05 12:32:00
國泰不用OTP可以直接綁ApplePay聯邦甚至只要密碼就能知道虛擬卡的所有資訊
作者: whocare96   2021-12-05 12:41:00
剛剛試了國泰的,進入app要先綁fido 認證,要驗證手機號碼,只有網銀帳號密碼無法達成直接綁定Apple payL大,法規是電子銀行安控基準
作者: pippen2002 ((EJ1547))   2021-12-05 13:43:00
所以到底是甚麼?? 亂七八糟?
作者: temu2015 (TEMU2015)   2021-12-05 13:44:00
樓上到底要問什麼?
作者: go1717 (go一起一起當神)   2021-12-05 14:17:00
死都不用類似的東西 很明顯有資安問題 差在會不會爆而已
作者: brandon0610 (我很厲害)   2021-12-05 15:56:00
大驚小怪 麻布的資安標準很高阿
作者: go1717 (go一起一起當神)   2021-12-05 16:24:00
我的資安標準更高^^ 有外洩風險即使以前沒出過包 也一律不使用
作者: temu2015 (TEMU2015)   2021-12-05 16:26:00
有什麼東西是零風險的嗎?或大或小吧
作者: whocare96   2021-12-05 16:51:00
麻布通過的資安檢測是L2等級的,與目前多數銀行通過的等級相同,所以如果要避免風險,樓上上應該也要停止使用所有銀行的app 吧
作者: assa4451 (David4451)   2021-12-05 17:07:00
溫馨提醒,麻布不是金管會的管轄…..出事不要找金管會喔!因為帳密是使用者自願給的!也不要期待銀行負責,因為國內銀行目前沒有一家銀行有跟麻布合作~自己資料自己負責
作者: temu2015 (TEMU2015)   2021-12-05 17:13:00
說沒有合作就過頭了,只是沒有合作帳務API而已
作者: go1717 (go一起一起當神)   2021-12-05 19:17:00
我的使用者代號跟密碼 是使用最高等級:全部不一樣 沒有規則可言 光是帳號.代號.密碼都不同 就可以規避很多風險你先注意你的帳密 有沒有重複使用吧^^
作者: CJhang (Civil Jobs)   2021-12-05 19:48:00
麻布需要給金管會查嗎?
作者: assa4451 (David4451)   2021-12-05 22:34:00
它不是金融機構,沒有像銀行一樣每年定期查
作者: yoyo930021 (yoyo930021)   2021-12-06 00:36:00
IP 理論上不能知道在哪裡只是有資料庫去紀錄大概分去那個區域GCP 台灣的 IP 也經常被某些資料庫分到美國去才被當海外
作者: Lomonosov (羅蒙諾索夫院士)   2021-12-06 09:36:00
感謝提供~
作者: Or3 (new life)   2021-12-06 10:42:00
不然有合作甚麼?
作者: temu2015 (TEMU2015)   2021-12-06 10:49:00
https://reurl.cc/WX9ynZ 外幣匯率和定存利息ISO27001好像每年要查 三年要重審,APP L2的部分有沒有期限我不清楚。
作者: sana113821 (蜂蜜紅茶)   2021-12-06 17:19:00
我OK 你先刪
作者: Kazamatsuri (專業領隊)   2021-12-06 19:49:00
反正怕的就不要用就好啦~ 科科
作者: go1717 (go一起一起當神)   2021-12-07 11:10:00
資安觀念首重:分散風險 而不是L2等級好棒棒世界無敵強這是哪門子的資安觀念?即使安全等級再高 我都不會視為零風險 帳號密碼都不一樣的分散風險 你辦到了嗎?在不知道對方帳號的前提下 你必須承認帳號也是另一道密碼
作者: assa4451 (David4451)   2021-12-07 13:07:00
我同意樓上,帳密的提供與否 以及密碼不要用相同的,都是在分散風險。提供所有帳密在同一個機構我認為是集中風險,不過老話,自己的資料要自己保護
作者: go1717 (go一起一起當神)   2021-12-11 22:33:00
補充 銀行app是自己本身提供的登入方式 而這類app是過一手登入 「過一手登入」本身就有資安問題 給心臟大或是麻木的人去用就好 以後會不會爆只有天知道

Links booklink

Contact Us: admin [ a t ] ucptt.com