Fw: [討論] 台新行動帳單居然走 http 協定 CMJ0121 PTT批踢踢實業坊

Fw: [討論] 台新行動帳單居然走 http 協定

作者: CMJ0121 (請多指教!!) 2019-02-04 22:19:57

※ [本文轉錄自 creditcard 看板 #1SLdkJkU ]
作者: bignoob (有我嫩嗎) 看板: creditcard
標題: [討論] 台新行動帳單居然走 http 協定
時間: Sun Feb 3 13:26:36 2019
首先我認為
信用卡帳單應該是極為私密的東西
裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊
上個月不小心在活動登錄時，誤登入台新銀行"行動帳單"的活動
誤登入還好，可以進 PC版台新網銀取消，取消步驟:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html
但是收到這個行動帳單就覺得不OK了
行動帳單的網址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX
v=
u=
為兩個參數
點進去之後，輸入身分證字號即可看到帳單
但是
但是
但是
台新居然使用 http 協定
http協定並沒有加密，你傳送和回應的任何東西，在傳輸過程都可以輕易被攔截
網址中的v參數和u參數被知道沒關係
但是你的身分證字號也是明碼在網路上送耶 !!!
許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了
台新居然不知道???
有申請的人趕快改回電子帳單吧
這個行動帳單，其實已經推行一年多了
一年多了喔台新整整一年都在用 http 送帳單資訊出去
沒人發現?
不知道 http 嚴重性?
還是 ?_?

作者: a9564208 (YOU OUT!!) 2018-02-03 13:35:00

這麼狂喔…直接用get接資料喔喔有點搞錯

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 13:40:00

http post送你的身分證出去收你的帳單回來

作者: dil79975 (醬汁呢(′・ω・)*) 2018-02-03 13:46:00

第一次收到簡訊的時候還以為詐騙...行動帳單做的超陽春還80port, 根本大漏洞

作者: molsmopuim (超硬) 2018-02-03 13:56:00

智慧好夥伴真諷刺

作者: karta1083880 (superbear) 2018-02-03 13:56:00

基本上有關密碼跟個資都該用https，沒看到https的我都首先懷疑是詐騙，居然還有銀行會用http，頗恐怖

作者: yoyo930021 (yoyo930021) 2018-02-03 13:58:00

可怕

作者: evilisnear (Evilisnear) 2018-02-03 14:18:00

習慣就好

作者: ccpz (OoOoOo) 2018-02-03 14:23:00

帳單回傳被人MITM加料，或是被竊聽也很可怕

作者: bookticket (XD) 2018-02-03 14:46:00

有誇張到=_=

作者: osk2 (．)(．) 2018-02-03 15:01:00

等下會有人說反正你的個資又不值錢

作者: lin9753 (乂唔) 2018-02-03 15:03:00

扯

作者: lianpig5566 (家庭教師殺手里包恩) 2018-02-03 15:13:00

你的個資又不值錢拿你的個資要幹嘛？

作者: videoproblem (影片問題) 2018-02-03 15:20:00

釣魚成功傻眼

作者: fattymoose (moose) 2018-02-03 15:28:00

我都開VPN

作者: lianpig5566 (家庭教師殺手里包恩) 2018-02-03 15:29:00

反串啦XDDDDD

作者: now99 (陳在天) 2018-02-03 15:41:00

XDDDD

作者: s1an (vul3m4) 2018-02-03 15:53:00

直接向金管會檢舉重罰兩晚萬

作者: jommk (尋) 2018-02-03 15:56:00

我也有用台新行動帳單耶，完全不知道那麼可怕！！順便問s1大，這個為啥會被金管會罰？好奇^^\\

作者: sleepinggod (別再幻想了) 2018-02-03 15:59:00

可能是在幫對岸作工

作者: ImAllen (Allen) 2018-02-03 16:02:00

開VPN走http超危險傳輸資料全部接收

作者: jackloutter (WithoutReason) 2018-02-03 16:11:00

推

作者: Mazu323 (Mazu) 2018-02-03 16:15:00

這太扯

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 16:17:00

補上證明： https://i.imgur.com/4YIE73n.jpg https://i.imgur.com/iIxmbrj.jpg

作者: WindSucker (抽風者) 2018-02-03 16:43:00

who car

作者: rknung (歐比) 2018-02-03 17:26:00

文組：？？（真心不懂）

作者: vvind (wind) 2018-02-03 17:32:00

真的很瞎，銀行資安這樣搞的

作者: asdfghjklasd (好累的大一生活) 2018-02-03 17:32:00

IT 呵呵

作者: iamgyfan (人一定要靠自己) 2018-02-03 17:35:00

っq

作者: a08155556 (Jason) 2018-02-03 17:44:00

紙本帳單也沒有加密(也不保證送達

作者: timko (timko) 2018-02-03 18:07:00

銀行這種資安程度...

作者: PoloHuang (黃保羅) 2018-02-03 18:22:00

笑死

作者: choper (天痕·偽喬巴) 2018-02-03 18:27:00

推高調那麼大間銀行應改善

作者: fbifxxkma (FBI帥哥恐嚇騜) 2018-02-03 18:36:00

文組：你在說啥東東?

作者: lalalalaluk (luk) 2018-02-03 18:39:00

誇張這樣我都不太敢用台新的 app了

作者: waloloo (ARIAxヨシノヤ ) 2018-02-03 18:40:00

還好我用華為分享器不怕

作者: horusli (horusli) 2018-02-03 18:43:00

拿紙本帳單來講 zzz

作者: iop222456 (iop222456) 2018-02-03 18:50:00

這種資安程度 ...

作者: babypanda (熊貓寶貝) 2018-02-03 18:55:00

get parameter / post

作者: jin062900 (jin) 2018-02-03 18:55:00

好扯…

作者: CyBw 2018-02-03 18:57:00

好扯，還好沒用行動帳單

作者: airflow (享受壓力) 2018-02-03 19:08:00

杜老爺: 危言慫聽

作者: mathrew (Joey) 2018-02-03 19:12:00

某名字是地區合併銀行 N前年資料傳送也是沒加密我們公司Gateway還錄到密碼，跑去問當事人，還真的是笑死

作者: s97051581 (蓮子) 2018-02-03 19:13:00

電子帳單應該沒這問題吧？

作者: obarisk (OSWALT) 2018-02-03 19:20:00

是真的雷，電子帳單要去開pdf那個

作者: cooji74115 (酷子先生) 2018-02-03 19:50:00

台新連用它們自己的richart申請辦卡都會有不會拋投資料給信用卡部門進行審核的bug解不掉了要說它們資訊處理有多好我也是呵呵只會道歉道歉完也不會有任何改進的

作者: p1587 (小寶) 2018-02-03 20:13:00

你說法有錯不管有無SSL封包都是可以被攔截的而不是有https就不會被攔截

作者: ppc ( ) 2018-02-03 20:15:00

這種沒保護客戶資訊的問題可以報金管會

作者: QQ5566 (哭哭5566) 2018-02-03 20:21:00

台灣銀行數位，你意外嗎？

作者: bill0205 (善良的小孩沒人愛) 2018-02-03 20:26:00

http 80port +get 真狂有ssl你就算被攔截也要解得出來啊http和twlnet一樣是明碼傳輸就是裸奔 ssl就是有加密telnet

作者: youweit (Teng) 2018-02-03 20:29:00

這樣實在不行

作者: p1587 (小寶) 2018-02-03 20:32:00

沒錯就算攔到也要能解密但原PO的說法會讓人以為https就不會被攔截這是錯的

作者: bill0205 (善良的小孩沒人愛) 2018-02-03 20:36:00

其實還有一點用GET也很危險…

作者: shiro920 (白白) 2018-02-03 20:39:00

用80port好危險

作者: Jmoe (Rin0moe) 2018-02-03 21:14:00

這樣敢說智慧好夥伴？

作者: pig6033666 (im4x) 2018-02-03 21:25:00

智障好夥伴

作者: Hecc (來日方長) 2018-02-03 21:58:00

其實get post 在某些人眼中是沒有區別啦

作者: tndh (Nick ) 2018-02-03 21:59:00

不懂但是先關再說XD 感謝分享

作者: eric10902 (育) 2018-02-03 21:59:00

銀行的IT普遍都很廢不意外阿看看App store那堆跟屎一樣的銀行app就知道

作者: t78973677 (iis) 2018-02-03 22:17:00

一群正義魔人，以為只有你想的到嗎？為什麼不直接客訴，要在這裡發文？

作者: bignoob (æœ‰æˆ‘å«©å—Ž) 2018-02-03 22:19:00

還真的只有我想到謝謝指教 ^_^要在 creditcard 板發文是我的權益除非違反站規/板規

作者: believe91326 (阿淳) 2018-02-03 22:57:00

台新網銀也是男用

作者: prussian (prussian) 2018-02-03 22:59:00

說網路銀行個資不值錢的，方便公開提供一下您的帳號密碼嗎。網路時代孩子的教育依然不能等啊。

作者: bill0205 (善良的小孩沒人愛) 2018-02-03 23:23:00

個茲很便宜沒錯但是不值錢不代表銀行可以隨便處理客戶的個資阿這根本兩回事硬扯在一起

作者: soyan (Sean) 2018-02-03 23:25:00

帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能看基本帳單資訊，好像也沒用https的必要啊…看個帳單要不要再幫你兩步驟驗證一下？

作者: bill0205 (善良的小孩沒人愛) 2018-02-03 23:26:00

https重點是封包加密 http則是明碼傳輸

作者: HMKRL (HMKRL) 2018-02-03 23:29:00

至少沒有呆到把身份證字號放在query string啦 XDDD

作者: HeIIoWorId (塌奇拉蓬蓬) 2018-02-03 23:43:00

第一次收到行動帳單看到網址沒有s完全不想用…後來等pdf寄來

作者: dddanny (dddannyyy) 2018-02-04 00:27:00

有危險的感覺

作者: jimyan36 (Andrew) 2018-02-04 00:33:00

要上新聞才會改吧

作者: cxz123 2018-02-04 00:44:00

我的台新帳單連輸入密碼都不用，直接打開就看得一清二楚==

作者: CelicaGT (MESMER) 2018-02-04 00:46:00

又有這種個資不值錢論調,我以為來到長輩群組

作者: Puser (你說說看) 2018-02-04 00:49:00

自動扣款沒啥在開帳單因為原po仔細看帳單內容姓名卡號都有遮感覺還好白痴一點連安全碼都秀出來就很精采平常不要透過別人的設備(wifi熱點 proxy)連網路就好之前在fb看到中國白帽露一手就算有https照樣取得資料跟yo叔一樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下巴掉了 BTW ptt也有23跟443之分~然後我想看帳單都用他們家的App加指紋辦識不用記密碼!!!

作者: xkp74580 (xkp74580) 2018-02-04 01:21:00

誰有興趣無聊看陌生人的帳單有啥重要的service像網銀有吃https就好了啊大驚小怪

作者: Raymond0710 (雷門) 2018-02-04 01:22:00

這真的扯

作者: eric525498 (艾瑞克我肆酒吧) 2018-02-04 01:26:00

扯爆

作者: tonylaio (é‚£æ˜¯ç„¡ç›¡é€æ˜Žçš„æ€å¿µ) 2018-02-04 07:50:00

給蘋果日報

作者: lookat1205 (go to 台北) 2018-02-04 09:10:00

高調

作者: peiningyu (arpi) 2018-02-04 10:17:00

高調

作者: sm3489 (廢材團結聯盟) 2018-02-04 10:56:00

台新網銀超爛，爛到我公司戶直接換別家用

作者: matlab1106 (牛) 2018-02-04 11:34:00

太扯了該換別家了

作者: CJ100Lin (微笑工頭) 2018-02-04 11:36:00

台新只再乎趕著推出新產品，完全不在乎品質，這還能相信他嗎？

作者: reifind (磊) 2018-02-04 13:02:00

台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單

作者: Shane7 (軒柒) 2018-02-04 13:02:00

超扯

作者: apple841027j (苒冉) 2018-02-04 13:13:00

所有個資都要加密哦跟金管會檢舉資訊部門就要寫檢討報告了

作者: kenzoro 2018-02-04 14:10:00

取消能用app嗎找不到說還是要從客服？

作者: yangyush001 (yangyush001) 2018-02-04 14:40:00

好險我是軟體白癡看不懂這篇，當作沒事飄過去。

作者: tomap41017 (絕夢) 2018-02-04 15:03:00

太扯

作者: ChungLi5566 (中壢56哥) 2018-02-04 15:28:00

這個拿去給數聯資安做滲透測試應該滿滿的缺失get只能傳頁數或日期這種不重要的參數機敏性資料還是得用POST來傳另外https還要看標頭有沒有Strict Transport Security

作者: aromagreen (green) 2018-02-04 15:57:00

長知識

作者: prussian (prussian) 2018-02-04 16:20:00

xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有誰有興趣? 反正您不在意對吧

作者: poui0567 2018-02-04 18:16:00

高調...扯

作者: holishing 2019-02-09 21:33:00

實際上還是一堆人不覺得有問題啦

作者: a9601268787 (SoHentai) 2019-02-10 02:14:00

合規檢視...怎麼過的

作者: ym7834 (zero0) 2019-02-12 10:26:00

系統分級把它排掉就好啦

作者: qqq15963 (燒肉燒肉燒肉) 2019-02-22 19:13:00

卡版有人回報台新行動帳單已經改成https了，沒想到台新修正的還蠻快的，感覺還是非常重視資安至少有重視用戶的回饋，大家可以看一下自己的帳單有沒有修正~

作者: comp2468 (ilikemiku) 2019-03-01 17:05:00

小弟菜逼八想問這種金流可能走 SHTTP嗎?

作者: Data000 (Data000) 2019-03-17 21:04:00

台新http很久了，還好我很窮

繼續閱讀

Fw: [新聞] 史上「最大規模」7.73億筆電子郵件帳密遭CMJ0121 [問題] email被加註gsn suspected spamslex [揪團] 資策會ISO27002資訊安全管理國際認證班fanthony [情報] 購票App遭「天才駭客」詐款20萬！高鐵硬起來CMJ0121 Re: [問題] 租屋房東只提供無線網路？會被監視嗎？CMJ0121 [問題] 租屋房東只提供無線網路？會被監視嗎？easylunch [情報] 物聯網時代下將捲起全新的資安風暴gechion [問題] 請問還有辦法在firefox安裝Tamper dataallenhw [0Day] Laravel CVE-2018-15133CMJ0121 [問題] 一題CTFfinal01