作者:
CMJ0121 (請多指教!!)
2019-02-04 22:19:57※ [本文轉錄自 creditcard 看板 #1SLdkJkU ]
作者: bignoob (有我嫩嗎) 看板: creditcard
標題: [討論] 台新行動帳單居然走 http 協定
時間: Sun Feb 3 13:26:36 2019
首先我認為
信用卡帳單應該是極為私密的東西
裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊
上個月不小心在活動登錄時,誤登入台新銀行"行動帳單"的活動
誤登入還好,可以進 PC版台新網銀取消,取消步驟:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html
但是收到這個行動帳單就覺得不OK了
行動帳單的網址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX
v=
u=
為兩個參數
點進去之後,輸入身分證字號即可看到帳單
但是
但是
但是
台新居然使用 http 協定
http協定並沒有加密,你傳送和回應的任何東西,在傳輸過程都可以輕易被攔截
網址中的v參數和u參數被知道沒關係
但是你的身分證字號也是明碼在網路上送耶 !!!
許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了
台新居然不知道???
有申請的人趕快改回電子帳單吧
這個行動帳單,其實已經推行一年多了
一年多了喔 台新整整一年都在用 http 送帳單資訊出去
沒人發現?
不知道 http 嚴重性?
還是 ?_?
作者:
a9564208 (YOU OUT!!)
2018-02-03 13:35:00這麼狂喔…直接用get接資料喔喔有點搞錯
作者:
bignoob (有我嫩嗎)
2018-02-03 13:40:00http post送你的身分證出去 收你的帳單回來
作者:
dil79975 (醬汁呢(′・ω・)*)
2018-02-03 13:46:00第一次收到簡訊的時候 還以為詐騙...行動帳單做的超陽春還80port, 根本大漏洞
基本上有關密碼跟個資都該用https,沒看到https的我都首先懷疑是詐騙,居然還有銀行會用http,頗恐怖
作者: yoyo930021 (yoyo930021) 2018-02-03 13:58:00
可怕
作者:
ccpz (OoOoOo)
2018-02-03 14:23:00帳單回傳被人MITM加料,或是被竊聽也很可怕
作者:
osk2 (.)(.)
2018-02-03 15:01:00等下會有人說反正你的個資又不值錢
作者:
lin9753 (乂唔)
2018-02-03 15:03:00扯
作者: fattymoose (moose) 2018-02-03 15:28:00
我都開VPN
作者:
now99 (陳在天)
2018-02-03 15:41:00XDDDD
作者: s1an (vul3m4) 2018-02-03 15:53:00
直接向金管會檢舉 重罰兩晚萬
作者:
jommk (尋)
2018-02-03 15:56:00我也有用台新行動帳單耶,完全不知道那麼可怕!!順便問s1大,這個為啥會被金管會罰?好奇^^\\
作者:
ImAllen (Allen)
2018-02-03 16:02:00開VPN走http超危險 傳輸資料全部接收
作者:
Mazu323 (Mazu)
2018-02-03 16:15:00這太扯
作者:
bignoob (有我嫩嗎)
2018-02-03 16:17:00作者:
rknung (歐比)
2018-02-03 17:26:00文組:??(真心不懂)
作者:
vvind (wind)
2018-02-03 17:32:00真的很瞎,銀行資安這樣搞的
作者: iamgyfan (人一定要靠自己) 2018-02-03 17:35:00
っq
作者:
timko (timko)
2018-02-03 18:07:00銀行這種資安程度...
作者: PoloHuang (黃保羅) 2018-02-03 18:22:00
笑死
作者: choper (天痕·偽喬巴) 2018-02-03 18:27:00
推高調 那麼大間銀行 應改善
作者:
waloloo (ARIAxヨシノヤ )
2018-02-03 18:40:00還好我用華為分享器不怕
作者:
horusli (horusli)
2018-02-03 18:43:00拿紙本帳單來講 zzz
作者: iop222456 (iop222456) 2018-02-03 18:50:00
這種資安程度 ...
作者: babypanda (熊貓寶貝) 2018-02-03 18:55:00
get parameter / post
作者: CyBw 2018-02-03 18:57:00
好扯,還好沒用行動帳單
作者:
airflow (享受壓力)
2018-02-03 19:08:00杜老爺: 危言慫聽
作者:
mathrew (Joey)
2018-02-03 19:12:00某名字是地區合併銀行 N前年資料傳送也是沒加密我們公司Gateway還錄到密碼,跑去問當事人,還真的是笑死
作者: s97051581 (蓮子) 2018-02-03 19:13:00
電子帳單應該沒這問題吧?
作者: obarisk (OSWALT) 2018-02-03 19:20:00
是真的雷,電子帳單要去開pdf那個
台新連用它們自己的richart申請辦卡 都會有不會拋投資料給信用卡部門進行審核的bug解不掉了要說它們資訊處理有多好 我也是呵呵只會道歉 道歉完也不會有任何改進的
作者:
p1587 (小寶)
2018-02-03 20:13:00你說法有錯 不管有無SSL封包都是可以被攔截的而不是有https就不會被攔截
作者:
ppc ( )
2018-02-03 20:15:00這種沒保護客戶資訊的問題可以報金管會
作者:
QQ5566 (哭哭5566)
2018-02-03 20:21:00台灣銀行數位,你意外嗎?
作者:
bill0205 (善良的小孩沒人愛)
2018-02-03 20:26:00http 80port +get 真狂有ssl你就算被攔截也要解得出來啊http和twlnet一樣是明碼傳輸 就是裸奔 ssl就是有加密telnet
作者:
youweit (Teng)
2018-02-03 20:29:00這樣實在不行
作者:
p1587 (小寶)
2018-02-03 20:32:00沒錯就算攔到也要能解密 但原PO的說法會讓人以為https就不會被攔截 這是錯的
作者:
bill0205 (善良的小孩沒人愛)
2018-02-03 20:36:00其實還有一點用GET也很危險…
作者: Jmoe (Rin0moe) 2018-02-03 21:14:00
這樣敢說智慧好夥伴?
作者: Hecc (來日方長) 2018-02-03 21:58:00
其實get post 在某些人眼中是沒有區別啦
作者:
tndh (Nick )
2018-02-03 21:59:00不懂 但是先關再說XD 感謝分享
銀行的IT普遍都很廢不意外阿 看看App store那堆跟屎一樣的銀行app就知道
一群正義魔人,以為只有你想的到嗎?為什麼不直接客訴,要在這裡發文?
作者:
bignoob (有我嫩嗎)
2018-02-03 22:19:00還真的只有我想到 謝謝指教 ^_^要在 creditcard 板發文是我的權益 除非違反站規/板規
作者:
prussian (prussian)
2018-02-03 22:59:00說網路銀行個資不值錢的,方便公開提供一下您的帳號密碼嗎。網路時代孩子的教育依然不能等啊。
作者:
bill0205 (善良的小孩沒人愛)
2018-02-03 23:23:00個茲很便宜沒錯 但是不值錢不代表銀行可以隨便處理客戶的個資阿這根本兩回事 硬扯在一起
作者:
soyan (Sean)
2018-02-03 23:25:00帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能看基本帳單資訊,好像也沒用https的必要啊…看個帳單要不要再幫你兩步驟驗證一下?
作者:
bill0205 (善良的小孩沒人愛)
2018-02-03 23:26:00https重點是封包加密 http則是明碼傳輸
作者:
HMKRL (HMKRL)
2018-02-03 23:29:00至少沒有呆到把身份證字號放在query string啦 XDDD
第一次收到行動帳單看到網址沒有s完全不想用…後來等pdf寄來
作者: dddanny (dddannyyy) 2018-02-04 00:27:00
有危險的感覺
作者:
jimyan36 (Andrew)
2018-02-04 00:33:00要上新聞才會改吧
作者: cxz123 2018-02-04 00:44:00
我的台新帳單連輸入密碼都不用,直接打開就看得一清二楚==
作者:
CelicaGT (MESMER)
2018-02-04 00:46:00又有這種個資不值錢論調,我以為來到長輩群組
作者:
Puser (你說說看)
2018-02-04 00:49:00自動扣款沒啥在開帳單 因為原po仔細看帳單內容 姓名卡號都有遮 感覺還好 白痴一點連安全碼都秀出來就很精采平常不要透過別人的設備(wifi熱點 proxy)連網路就好 之前在fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下巴掉了 BTW ptt也有23跟443之分~然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!!
作者:
xkp74580 (xkp74580)
2018-02-04 01:21:00誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有吃https就好了啊 大驚小怪
作者:
tonylaio (那是無盡é€æ˜Žçš„æ€å¿µ)
2018-02-04 07:50:00給蘋果日報
作者:
sm3489 (廢材團結聯盟)
2018-02-04 10:56:00台新網銀超爛,爛到我公司戶直接換別家用
作者: matlab1106 (牛) 2018-02-04 11:34:00
太扯了 該換別家了
台新只再乎趕著推出新產品,完全不在乎品質,這還能相信他嗎?
作者: reifind (磊) 2018-02-04 13:02:00
台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單
作者:
Shane7 (軒柒)
2018-02-04 13:02:00超扯
所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢討報告了
作者: kenzoro 2018-02-04 14:10:00
取消能用app嗎 找不到說 還是要從客服?
這個拿去給數聯資安做滲透測試應該滿滿的缺失get只能傳頁數或日期這種不重要的參數機敏性資料還是得用POST來傳另外https還要看標頭有沒有Strict Transport Security
作者:
prussian (prussian)
2018-02-04 16:20:00xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有誰有興趣? 反正您不在意對吧
作者: poui0567 (Hm) 2018-02-04 18:16:00
高調...扯
作者:
ym7834 (zero0)
2019-02-12 10:26:00系統分級把它排掉就好啦
作者:
qqq15963 (燒肉燒肉燒肉)
2019-02-22 19:13:00卡版有人回報台新行動帳單已經改成https了,沒想到台新修正的還蠻快的,感覺還是非常重視資安 至少有重視用戶的回饋,大家可以看一下自己的帳單有沒有修正~
作者:
comp2468 (ilikemiku)
2019-03-01 17:05:00小弟菜逼八想問這種金流可能走 SHTTP嗎?
作者:
Data000 (Data000)
2019-03-17 21:04:00台新http很久了,還好我很窮