[討論] 台新行動帳單居然走 http 協定

首先我認為 信用卡帳單應該是極為私密的東西 裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊 上個月不小心在活動登錄時，誤登入台新銀行"行動帳單"的活動 誤登入還好，可以進 PC版台新網銀取消，取消步驟: https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html 但是收到這個行動帳單就覺得不OK了 行動帳單的網址格式如下: http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX v= u= 為兩個參數 點進去之後，輸入身分證字號即可看到帳單 但是 但是 但是 台新居然使用 http 協定 http協定並沒有加密，你傳送和回應的任何東西，在傳輸過程都可以輕易被攔截 網址中的v參數和u參數被知道沒關係 但是你的身分證字號也是明碼在網路上送耶 !!! 許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了 台新居然不知道??? 有申請的人趕快改回電子帳單吧 這個行動帳單，其實已經推行一年多了 一年多了喔 台新整整一年都在用 http 送帳單資訊出去 沒人發現? 不知道 http 嚴重性? 還是 ?_? -- 02/04 22:19
※ 批踢踢實業坊(ptt.cc), 來自: 111.82.148.130
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1549171603.A.B9E.html

→ a9564208: 這麼狂喔…直接用get接資料 02/03 13:35

→ a9564208: 喔喔有點搞錯 02/03 13:36

→ bignoob: http post送你的身分證出去 收你的帳單回來 02/03 13:40

→ dil79975: 第一次收到簡訊的時候 還以為詐騙... 02/03 13:46

→ dil79975: 行動帳單做的超陽春還80port, 根本大漏洞 02/03 13:46

推 molsmopuim: 智慧好夥伴 真諷刺 02/03 13:56

→ karta1083880: 基本上有關密碼跟個資都該用https，沒看到https的 02/03 13:56

→ karta1083880: 我都首先懷疑是詐騙，居然還有銀行會用http，頗恐 02/03 13:56

→ karta1083880: 怖 02/03 13:56

推 yoyo930021: 可怕 02/03 13:58

推 evilisnear: 習慣就好 02/03 14:18

推 ccpz: 帳單回傳被人MITM加料，或是被竊聽也很可怕 02/03 14:23

推 bookticket: 有誇張到=_= 02/03 14:46

推 osk2: 等下會有人說反正你的個資又不值錢 02/03 15:01

推 lin9753: 扯 02/03 15:03

噓 lianpig5566: 你的個資又不值錢 拿你的個資要幹嘛？ 02/03 15:13

推 videoproblem: 釣魚成功 傻眼 02/03 15:20

→ fattymoose: 我都開VPN 02/03 15:28

推 lianpig5566: 反串啦XDDDDD 02/03 15:29

推 now99: XDDDD 02/03 15:41

推 s1an: 直接向金管會檢舉 重罰兩晚萬 02/03 15:53

推 jommk: 我也有用台新行動帳單耶，完全不知道那麼可怕！！順便問s1 02/03 15:56

→ jommk: 大，這個為啥會被金管會罰？好奇^^\\ 02/03 15:56

推 sleepinggod: 可能是在幫對岸作工 02/03 15:59

推 ImAllen: 開VPN走http超危險 傳輸資料全部接收 02/03 16:02

推 jackloutter: 推 02/03 16:11

推 Mazu323: 這太扯 02/03 16:15

→ bignoob: 補上證明： https://i.imgur.com/4YIE73n.jpg 02/03 16:17

→ bignoob: https://i.imgur.com/iIxmbrj.jpg 02/03 16:19

推 WindSucker: who car 02/03 16:43

推 rknung: 文組：？？（真心不懂） 02/03 17:26

推 vvind: 真的很瞎，銀行資安這樣搞的 02/03 17:32

→ asdfghjklasd: IT 呵呵 02/03 17:32

推 iamgyfan: っq 02/03 17:35

推 a08155556: 紙本帳單也沒有加密(也不保證送達 02/03 17:44

推 timko: 銀行這種資安程度... 02/03 18:07

推 PoloHuang: 笑死 02/03 18:22

推 choper: 推高調 那麼大間銀行 應改善 02/03 18:27

推 fbifxxkma: 文組：你在說啥東東? 02/03 18:36

推 lalalalaluk: 誇張 這樣我都不太敢用台新的 app了 02/03 18:39

推 waloloo: 還好我用華為分享器不怕 02/03 18:40

推 horusli: 拿紙本帳單來講 zzz 02/03 18:43

推 iop222456: 這種資安程度 ... 02/03 18:50

推 babypanda: get parameter / post 02/03 18:55

推 jin062900: 好扯… 02/03 18:55

推 CyBw: 好扯，還好沒用行動帳單 02/03 18:57

推 airflow: 杜老爺: 危言慫聽 02/03 19:08

推 mathrew: 某名字是地區合併銀行 N前年資料傳送也是沒加密 02/03 19:12

→ mathrew: 我們公司Gateway還錄到密碼，跑去問當事人，還真的是 02/03 19:13

→ mathrew: 笑死 02/03 19:13

推 s97051581: 電子帳單應該沒這問題吧？ 02/03 19:13

推 obarisk: 是真的雷，電子帳單要去開pdf那個 02/03 19:20

推 cooji74115: 台新連用它們自己的richart申請辦卡 都會有不會拋投資 02/03 19:50

→ cooji74115: 料給信用卡部門進行審核的bug解不掉了 02/03 19:50

→ cooji74115: 要說它們資訊處理有多好 我也是呵呵 02/03 19:51

→ cooji74115: 只會道歉 道歉完也不會有任何改進的 02/03 19:52

推 p1587: 你說法有錯 不管有無SSL封包都是可以被攔截的而不是有https 02/03 20:13

→ p1587: 就不會被攔截 02/03 20:13

推 ppc: 這種沒保護客戶資訊的問題可以報金管會 02/03 20:15

噓 QQ5566: 台灣銀行數位，你意外嗎？ 02/03 20:21

推 bill0205: http 80port +get 真狂 02/03 20:26

→ bill0205: 有ssl你就算被攔截也要解得出來啊 02/03 20:27

→ bill0205: http和twlnet一樣是明碼傳輸 就是裸奔 ssl就是有加密 02/03 20:28

→ bill0205: telnet 02/03 20:28

推 youweit: 這樣實在不行 02/03 20:29

→ p1587: 沒錯就算攔到也要能解密 但原PO的說法會讓人以為https就不 02/03 20:32

→ p1587: 會被攔截 這是錯的 02/03 20:32

推 bill0205: 其實還有一點用GET也很危險… 02/03 20:36

推 shiro920: 用80port好危險 02/03 20:39

推 Jmoe: 這樣敢說智慧好夥伴？ 02/03 21:14

推 pig6033666: 智障好夥伴 02/03 21:25

推 Hecc: 其實get post 在某些人眼中是沒有區別啦 02/03 21:58

推 tndh: 不懂 但是先關再說XD 感謝分享 02/03 21:59

推 eric10902: 銀行的IT普遍都很廢不意外阿 看看App store那堆跟屎一 02/03 21:59

→ eric10902: 樣的銀行app就知道 02/03 21:59

噓 t78973677: 一群正義魔人，以為只有你想的到嗎？為什麼不直接客訴 02/03 22:17

→ t78973677: ，要在這裡發文？ 02/03 22:17

→ bignoob: 還真的只有我想到 謝謝指教 ^_^ 02/03 22:19

→ bignoob: 要在 creditcard 板發文是我的權益 除非違反站規/板規 02/03 22:20

→ believe91326: 台新網銀也是男用 02/03 22:57

推 prussian: 說網路銀行個資不值錢的，方便公開提供一下您的帳號密 02/03 22:59

→ prussian: 碼嗎。網路時代孩子的教育依然不能等啊。 02/03 22:59

→ bill0205: 個茲很便宜沒錯 但是不值錢不代表銀行可以隨便處理客戶 02/03 23:23

→ bill0205: 的個資阿 02/03 23:23

→ bill0205: 這根本兩回事 硬扯在一起 02/03 23:23

→ soyan: 帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能 02/03 23:25

→ soyan: 看基本帳單資訊，好像也沒用https的必要啊…看個帳單要不要 02/03 23:25

→ soyan: 再幫你兩步驟驗證一下？ 02/03 23:25

→ bill0205: https重點是封包加密 http則是明碼傳輸 02/03 23:26

推 HMKRL: 至少沒有呆到把身份證字號放在query string啦 XDDD 02/03 23:29

→ HeIIoWorId: 第一次收到行動帳單看到網址沒有s完全不想用…後來等p 02/03 23:43

→ HeIIoWorId: df寄來 02/03 23:43

推 dddanny: 有危險的感覺 02/04 00:27

→ jimyan36: 要上新聞才會改吧 02/04 00:33

噓 cxz123: 我的台新帳單連輸入密碼都不用，直接打開就看得一清二楚== 02/04 00:44

推 CelicaGT: 又有這種個資不值錢論調,我以為來到長輩群組 02/04 00:46

→ Puser: 自動扣款沒啥在開帳單 因為原po仔細看帳單內容 姓名卡號都 02/04 00:49

→ Puser: 有遮 感覺還好 白痴一點連安全碼都秀出來就很精采 02/04 00:50

→ Puser: 平常不要透過別人的設備(wifi熱點 proxy)連網路就好 之前在 02/04 00:50

→ Puser: fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一 02/04 00:51

→ Puser: 樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下 02/04 00:52

→ Puser: 巴掉了 BTW ptt也有23跟443之分~ 02/04 00:53

→ Puser: 然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!! 02/04 00:54

→ xkp74580: 誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有 02/04 01:21

→ xkp74580: 吃https就好了啊 大驚小怪 02/04 01:21

推 Raymond0710: 這真的扯 02/04 01:22

推 eric525498: 扯爆 02/04 01:26

推 tonylaio: 給蘋果日報 02/04 07:50

推 lookat1205: 高調 02/04 09:10

推 peiningyu: 高調 02/04 10:17

推 sm3489: 台新網銀超爛，爛到我公司戶直接換別家用 02/04 10:56

推 matlab1106: 太扯了 該換別家了 02/04 11:34

推 CJ100Lin: 台新只再乎趕著推出新產品，完全不在乎品質，這還能相信 02/04 11:36

→ CJ100Lin: 他嗎？ 02/04 11:36

推 reifind: 台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單 02/04 13:02

推 Shane7: 超扯 02/04 13:02

推 apple841027j: 所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢 02/04 13:13

→ apple841027j: 討報告了 02/04 13:13

推 kenzoro: 取消能用app嗎 找不到說 還是要從客服？ 02/04 14:10

→ yangyush001: 好險我是軟體白癡看不懂這篇，當作沒事飄過去。 02/04 14:40

推 tomap41017: 太扯 02/04 15:03

→ ChungLi5566: 這個拿去給數聯資安做滲透測試應該滿滿的缺失 02/04 15:28

→ ChungLi5566: get只能傳頁數或日期這種不重要的參數 02/04 15:29

→ ChungLi5566: 機敏性資料還是得用POST來傳 02/04 15:29

→ ChungLi5566: 另外https還要看標頭有沒有Strict Transport Securit 02/04 15:32

→ ChungLi5566: y 02/04 15:32

推 aromagreen: 長知識 02/04 15:57

→ prussian: xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有 02/04 16:20

→ prussian: 誰有興趣? 反正您不在意對吧 02/04 16:20

推 poui0567: 高調...扯 02/04 18:16

推 WanRyan: 之前突然跑出行動帳單我還覺得奇怪，怎麼有電子帳單還多 02/04 23:17

→ WanRyan: 這個，好多餘~ 感謝資訊，馬上去取消勾勾了! 02/04 23:17

推 a9601268787: 這個合規怎麼過的 xD 漏看？？ 02/05 03:24

推 bightb56913: 推個 原來這樣阿啊 02/05 09:59

推 kemusi: 都什麼年代且又是銀行，這真的有混喔 02/05 10:22

推 CJ100Lin: 是不是應該讓人開始測試了？ 02/05 13:55

→ fongse: 現在連部落格都HTTPS了 02/05 20:34

推 thunder02: 高調推 02/06 00:49

→ wuchiou: 文組求翻譯 02/06 13:19

推 sejuanigank: 理組求翻譯 02/06 17:33

推 kenny840719: 換成https又沒多難 連這個都懶得換… 02/06 23:01

→ melody1003: 麻煩請體諒一下還是有人在用xp系統，基本上應該是80 02/07 23:11

→ melody1003: 跟443都有開，至於什麼時候關閉就等公告吧！原po少見 02/07 23:12

→ melody1003: 多怪了！ 02/07 23:12

推 AnewMitch: ！ 02/08 15:54

→ prussian: 銀行早就放棄xp了吧，連 android 4.4都被台新放棄了 02/08 21:16

→ pippen2002: 一項都是電子帳單！ 幹嘛行動帳單？ 02/08 21:27

噓 jwptt0120: 紅明顯 好奇樓主有沒有與客服反映過？想追蹤後續 02/09 18:15

推 ss178289: 扯 02/09 22:43

推 ttv: 預計2019/2月底前上線 02/10 12:55

噓 lianpig5566: 那要不要體諒還有人在用Windows2000阿 02/11 21:15

推 marosky: 昨天收到台新帳單發現已經改成https囉，各位有收到帳單也 02/22 18:16

→ marosky: 可以稍微留意一下，覺得台新真的調整蠻快速的，有人反應 02/22 18:16

→ marosky: 就立刻改，這點還不錯 02/22 18:17

推 HeIIoWorId: 今天收到也發現改https了 03/14 17:04

推 t88965: 通常不會怕上新聞，怕被稽核弄XDD 03/26 20:39