[討論] 台新行動帳單居然走 http 協定

看板 creditcard
作者 bignoob (有我嫩嗎)
時間 2019-02-03 13:26:36
留言 156則留言 (81推 6噓 69→)

首先我認為 信用卡帳單應該是極為私密的東西 裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊 上個月不小心在活動登錄時,誤登入台新銀行"行動帳單"的活動 誤登入還好,可以進 PC版台新網銀取消,取消步驟: https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html 但是收到這個行動帳單就覺得不OK了 行動帳單的網址格式如下: http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX v= u= 為兩個參數 點進去之後,輸入身分證字號即可看到帳單 但是 但是 但是 台新居然使用 http 協定 http協定並沒有加密,你傳送和回應的任何東西,在傳輸過程都可以輕易被攔截 網址中的v參數和u參數被知道沒關係 但是你的身分證字號也是明碼在網路上送耶 !!! 許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了 台新居然不知道??? 有申請的人趕快改回電子帳單吧 這個行動帳單,其實已經推行一年多了 一年多了喔 台新整整一年都在用 http 送帳單資訊出去 沒人發現? 不知道 http 嚴重性? 還是 ?_? --
02/04 22:19
※ 批踢踢實業坊(ptt.cc), 來自: 111.82.148.130
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1549171603.A.B9E.html

a9564208: 這麼狂喔…直接用get接資料 02/03 13:35

a9564208: 喔喔有點搞錯 02/03 13:36

bignoob: http post送你的身分證出去 收你的帳單回來 02/03 13:40

dil79975: 第一次收到簡訊的時候 還以為詐騙... 02/03 13:46

dil79975: 行動帳單做的超陽春還80port, 根本大漏洞 02/03 13:46

molsmopuim: 智慧好夥伴 真諷刺 02/03 13:56

karta1083880: 基本上有關密碼跟個資都該用https,沒看到https的 02/03 13:56

karta1083880: 我都首先懷疑是詐騙,居然還有銀行會用http,頗恐 02/03 13:56

karta1083880: 怖 02/03 13:56

yoyo930021: 可怕 02/03 13:58

evilisnear: 習慣就好 02/03 14:18

ccpz: 帳單回傳被人MITM加料,或是被竊聽也很可怕 02/03 14:23

bookticket: 有誇張到=_= 02/03 14:46

osk2: 等下會有人說反正你的個資又不值錢 02/03 15:01

lin9753: 扯 02/03 15:03

lianpig5566: 你的個資又不值錢 拿你的個資要幹嘛? 02/03 15:13

videoproblem: 釣魚成功 傻眼 02/03 15:20

fattymoose: 我都開VPN 02/03 15:28

lianpig5566: 反串啦XDDDDD 02/03 15:29

now99: XDDDD 02/03 15:41

s1an: 直接向金管會檢舉 重罰兩晚萬 02/03 15:53

jommk: 我也有用台新行動帳單耶,完全不知道那麼可怕!!順便問s1 02/03 15:56

jommk: 大,這個為啥會被金管會罰?好奇^^\\ 02/03 15:56

sleepinggod: 可能是在幫對岸作工 02/03 15:59

ImAllen: 開VPN走http超危險 傳輸資料全部接收 02/03 16:02

jackloutter: 推 02/03 16:11

Mazu323: 這太扯 02/03 16:15

bignoob: 補上證明: https://i.imgur.com/4YIE73n.jpg 02/03 16:17

bignoob: https://i.imgur.com/iIxmbrj.jpg 02/03 16:19

WindSucker: who car 02/03 16:43

rknung: 文組:??(真心不懂) 02/03 17:26

vvind: 真的很瞎,銀行資安這樣搞的 02/03 17:32

asdfghjklasd: IT 呵呵 02/03 17:32

iamgyfan: っq 02/03 17:35

a08155556: 紙本帳單也沒有加密(也不保證送達 02/03 17:44

timko: 銀行這種資安程度... 02/03 18:07

PoloHuang: 笑死 02/03 18:22

choper: 推高調 那麼大間銀行 應改善 02/03 18:27

fbifxxkma: 文組:你在說啥東東? 02/03 18:36

lalalalaluk: 誇張 這樣我都不太敢用台新的 app了 02/03 18:39

waloloo: 還好我用華為分享器不怕 02/03 18:40

horusli: 拿紙本帳單來講 zzz 02/03 18:43

iop222456: 這種資安程度 ... 02/03 18:50

babypanda: get parameter / post 02/03 18:55

jin062900: 好扯… 02/03 18:55

CyBw: 好扯,還好沒用行動帳單 02/03 18:57

airflow: 杜老爺: 危言慫聽 02/03 19:08

mathrew: 某名字是地區合併銀行 N前年資料傳送也是沒加密 02/03 19:12

mathrew: 我們公司Gateway還錄到密碼,跑去問當事人,還真的是 02/03 19:13

mathrew: 笑死 02/03 19:13

s97051581: 電子帳單應該沒這問題吧? 02/03 19:13

obarisk: 是真的雷,電子帳單要去開pdf那個 02/03 19:20

cooji74115: 台新連用它們自己的richart申請辦卡 都會有不會拋投資 02/03 19:50

cooji74115: 料給信用卡部門進行審核的bug解不掉了 02/03 19:50

cooji74115: 要說它們資訊處理有多好 我也是呵呵 02/03 19:51

cooji74115: 只會道歉 道歉完也不會有任何改進的 02/03 19:52

p1587: 你說法有錯 不管有無SSL封包都是可以被攔截的而不是有https 02/03 20:13

p1587: 就不會被攔截 02/03 20:13

ppc: 這種沒保護客戶資訊的問題可以報金管會 02/03 20:15

QQ5566: 台灣銀行數位,你意外嗎? 02/03 20:21

bill0205: http 80port +get 真狂 02/03 20:26

bill0205: 有ssl你就算被攔截也要解得出來啊 02/03 20:27

bill0205: http和twlnet一樣是明碼傳輸 就是裸奔 ssl就是有加密 02/03 20:28

bill0205: telnet 02/03 20:28

youweit: 這樣實在不行 02/03 20:29

p1587: 沒錯就算攔到也要能解密 但原PO的說法會讓人以為https就不 02/03 20:32

p1587: 會被攔截 這是錯的 02/03 20:32

bill0205: 其實還有一點用GET也很危險… 02/03 20:36

shiro920: 用80port好危險 02/03 20:39

Jmoe: 這樣敢說智慧好夥伴? 02/03 21:14

pig6033666: 智障好夥伴 02/03 21:25

Hecc: 其實get post 在某些人眼中是沒有區別啦 02/03 21:58

tndh: 不懂 但是先關再說XD 感謝分享 02/03 21:59

eric10902: 銀行的IT普遍都很廢不意外阿 看看App store那堆跟屎一 02/03 21:59

eric10902: 樣的銀行app就知道 02/03 21:59

t78973677: 一群正義魔人,以為只有你想的到嗎?為什麼不直接客訴 02/03 22:17

t78973677: ,要在這裡發文? 02/03 22:17

bignoob: 還真的只有我想到 謝謝指教 ^_^ 02/03 22:19

bignoob: 要在 creditcard 板發文是我的權益 除非違反站規/板規 02/03 22:20

believe91326: 台新網銀也是男用 02/03 22:57

prussian: 說網路銀行個資不值錢的,方便公開提供一下您的帳號密 02/03 22:59

prussian: 碼嗎。網路時代孩子的教育依然不能等啊。 02/03 22:59

bill0205: 個茲很便宜沒錯 但是不值錢不代表銀行可以隨便處理客戶 02/03 23:23

bill0205: 的個資阿 02/03 23:23

bill0205: 這根本兩回事 硬扯在一起 02/03 23:23

soyan: 帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能 02/03 23:25

soyan: 看基本帳單資訊,好像也沒用https的必要啊…看個帳單要不要 02/03 23:25

soyan: 再幫你兩步驟驗證一下? 02/03 23:25

bill0205: https重點是封包加密 http則是明碼傳輸 02/03 23:26

HMKRL: 至少沒有呆到把身份證字號放在query string啦 XDDD 02/03 23:29

HeIIoWorId: 第一次收到行動帳單看到網址沒有s完全不想用…後來等p 02/03 23:43

HeIIoWorId: df寄來 02/03 23:43

dddanny: 有危險的感覺 02/04 00:27

jimyan36: 要上新聞才會改吧 02/04 00:33

cxz123: 我的台新帳單連輸入密碼都不用,直接打開就看得一清二楚== 02/04 00:44

CelicaGT: 又有這種個資不值錢論調,我以為來到長輩群組 02/04 00:46

Puser: 自動扣款沒啥在開帳單 因為原po仔細看帳單內容 姓名卡號都 02/04 00:49

Puser: 有遮 感覺還好 白痴一點連安全碼都秀出來就很精采 02/04 00:50

Puser: 平常不要透過別人的設備(wifi熱點 proxy)連網路就好 之前在 02/04 00:50

Puser: fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一 02/04 00:51

Puser: 樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下 02/04 00:52

Puser: 巴掉了 BTW ptt也有23跟443之分~ 02/04 00:53

Puser: 然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!! 02/04 00:54

xkp74580: 誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有 02/04 01:21

xkp74580: 吃https就好了啊 大驚小怪 02/04 01:21

Raymond0710: 這真的扯 02/04 01:22

eric525498: 扯爆 02/04 01:26

tonylaio: 給蘋果日報 02/04 07:50

lookat1205: 高調 02/04 09:10

peiningyu: 高調 02/04 10:17

sm3489: 台新網銀超爛,爛到我公司戶直接換別家用 02/04 10:56

matlab1106: 太扯了 該換別家了 02/04 11:34

CJ100Lin: 台新只再乎趕著推出新產品,完全不在乎品質,這還能相信 02/04 11:36

CJ100Lin: 他嗎? 02/04 11:36

reifind: 台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單 02/04 13:02

Shane7: 超扯 02/04 13:02

apple841027j: 所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢 02/04 13:13

apple841027j: 討報告了 02/04 13:13

kenzoro: 取消能用app嗎 找不到說 還是要從客服? 02/04 14:10

yangyush001: 好險我是軟體白癡看不懂這篇,當作沒事飄過去。 02/04 14:40

tomap41017: 太扯 02/04 15:03

ChungLi5566: 這個拿去給數聯資安做滲透測試應該滿滿的缺失 02/04 15:28

ChungLi5566: get只能傳頁數或日期這種不重要的參數 02/04 15:29

ChungLi5566: 機敏性資料還是得用POST來傳 02/04 15:29

ChungLi5566: 另外https還要看標頭有沒有Strict Transport Securit 02/04 15:32

ChungLi5566: y 02/04 15:32

aromagreen: 長知識 02/04 15:57

prussian: xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有 02/04 16:20

prussian: 誰有興趣? 反正您不在意對吧 02/04 16:20

poui0567: 高調...扯 02/04 18:16

WanRyan: 之前突然跑出行動帳單我還覺得奇怪,怎麼有電子帳單還多 02/04 23:17

WanRyan: 這個,好多餘~ 感謝資訊,馬上去取消勾勾了! 02/04 23:17

a9601268787: 這個合規怎麼過的 xD 漏看?? 02/05 03:24

bightb56913: 推個 原來這樣阿啊 02/05 09:59

kemusi: 都什麼年代且又是銀行,這真的有混喔 02/05 10:22

CJ100Lin: 是不是應該讓人開始測試了? 02/05 13:55

fongse: 現在連部落格都HTTPS了 02/05 20:34

thunder02: 高調推 02/06 00:49

wuchiou: 文組求翻譯 02/06 13:19

sejuanigank: 理組求翻譯 02/06 17:33

kenny840719: 換成https又沒多難 連這個都懶得換… 02/06 23:01

melody1003: 麻煩請體諒一下還是有人在用xp系統,基本上應該是80 02/07 23:11

melody1003: 跟443都有開,至於什麼時候關閉就等公告吧!原po少見 02/07 23:12

melody1003: 多怪了! 02/07 23:12

AnewMitch: ! 02/08 15:54

prussian: 銀行早就放棄xp了吧,連 android 4.4都被台新放棄了 02/08 21:16

pippen2002: 一項都是電子帳單! 幹嘛行動帳單? 02/08 21:27

jwptt0120: 紅明顯 好奇樓主有沒有與客服反映過?想追蹤後續 02/09 18:15

ss178289: 扯 02/09 22:43

ttv: 預計2019/2月底前上線 02/10 12:55

lianpig5566: 那要不要體諒還有人在用Windows2000阿 02/11 21:15

marosky: 昨天收到台新帳單發現已經改成https囉,各位有收到帳單也 02/22 18:16

marosky: 可以稍微留意一下,覺得台新真的調整蠻快速的,有人反應 02/22 18:16

marosky: 就立刻改,這點還不錯 02/22 18:17

HeIIoWorId: 今天收到也發現改https了 03/14 17:04

t88965: 通常不會怕上新聞,怕被稽核弄XDD 03/26 20:39

您可能感興趣