資安

台新行動帳單居然走 http 協定 - 資安

Candice avatarCandice · 2019-02-04

Table of Contents

※ [本文轉錄自 creditcard 看板 #1SLdkJkU ]

作者: bignoob (有我嫩嗎) 看板: creditcard
標題: [討論] 台新行動帳單居然走 http 協定
時間: Sun Feb 3 13:26:36 2019

首先我認為

信用卡帳單應該是極為私密的東西

裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊


上個月不小心在活動登錄時,誤登入台新銀行"行動帳單"的活動


誤登入還好,可以進 PC版台新網銀取消,取消步驟:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html

但是收到這個行動帳單就覺得不OK了


行動帳單的網址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX

v=
u=
為兩個參數

點進去之後,輸入身分證字號即可看到帳單

但是
但是
但是

台新居然使用 http 協定

http協定並沒有加密,你傳送和回應的任何東西,在傳輸過程都可以輕易被攔截

網址中的v參數和u參數被知道沒關係

但是你的身分證字號也是明碼在網路上送耶 !!!

許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了

台新居然不知道???

有申請的人趕快改回電子帳單吧

這個行動帳單,其實已經推行一年多了

一年多了喔 台新整整一年都在用 http 送帳單資訊出去

沒人發現?

不知道 http 嚴重性?

還是 ?_?

--
資安

All Comments

Dora avatarDora2019-02-06
這麼狂喔…直接用get接資料
Kelly avatarKelly2019-02-08
喔喔有點搞錯
Hedda avatarHedda2019-02-10
http post送你的身分證出去 收你的帳單回來
Jake avatarJake2019-02-12
第一次收到簡訊的時候 還以為詐騙...
行動帳單做的超陽春還80port, 根本大漏洞
Victoria avatarVictoria2019-02-14
智慧好夥伴 真諷刺
Regina avatarRegina2019-02-16
基本上有關密碼跟個資都該用https,沒看到https的
我都首先懷疑是詐騙,居然還有銀行會用http,頗恐
Cara avatarCara2019-02-18
可怕
Valerie avatarValerie2019-02-20
習慣就好
Heather avatarHeather2019-02-23
帳單回傳被人MITM加料,或是被竊聽也很可怕
Anonymous avatarAnonymous2019-02-25
有誇張到=_=
Thomas avatarThomas2019-02-27
等下會有人說反正你的個資又不值錢
James avatarJames2019-03-01
Rebecca avatarRebecca2019-03-03
你的個資又不值錢 拿你的個資要幹嘛?
Hedy avatarHedy2019-03-05
釣魚成功 傻眼
Ivy avatarIvy2019-03-07
我都開VPN
Madame avatarMadame2019-03-09
反串啦XDDDDD
Queena avatarQueena2019-03-11
XDDDD
Bethany avatarBethany2019-03-13
直接向金管會檢舉 重罰兩晚萬
Eartha avatarEartha2019-03-15
我也有用台新行動帳單耶,完全不知道那麼可怕!!順便問s1
大,這個為啥會被金管會罰?好奇^^\\
Linda avatarLinda2019-03-17
可能是在幫對岸作工
George avatarGeorge2019-03-19
開VPN走http超危險 傳輸資料全部接收
Charlotte avatarCharlotte2019-03-21
Bennie avatarBennie2019-03-23
這太扯
Hamiltion avatarHamiltion2019-03-25
補上證明: https://i.imgur.com/4YIE73n.jpg
Kelly avatarKelly2019-03-27
https://i.imgur.com/iIxmbrj.jpg
Frederic avatarFrederic2019-03-29
who car
Franklin avatarFranklin2019-03-31
文組:??(真心不懂)
Selena avatarSelena2019-04-02
真的很瞎,銀行資安這樣搞的
Gilbert avatarGilbert2019-04-04
IT 呵呵
Emma avatarEmma2019-04-06
っq
Valerie avatarValerie2019-04-08
紙本帳單也沒有加密(也不保證送達
Gary avatarGary2019-04-10
銀行這種資安程度...
Andy avatarAndy2019-04-12
笑死
Edith avatarEdith2019-04-14
推高調 那麼大間銀行 應改善
Erin avatarErin2019-04-16
文組:你在說啥東東?
Yedda avatarYedda2019-04-18
誇張 這樣我都不太敢用台新的 app了
Suhail Hany avatarSuhail Hany2019-04-20
還好我用華為分享器不怕
Adele avatarAdele2019-04-22
拿紙本帳單來講 zzz
Suhail Hany avatarSuhail Hany2019-04-24
這種資安程度 ...
Dinah avatarDinah2019-04-26
get parameter / post
Damian avatarDamian2019-04-28
好扯…
Donna avatarDonna2019-04-30
好扯,還好沒用行動帳單
Oscar avatarOscar2019-05-02
杜老爺: 危言慫聽
Linda avatarLinda2019-05-04
某名字是地區合併銀行 N前年資料傳送也是沒加密
Bennie avatarBennie2019-05-06
我們公司Gateway還錄到密碼,跑去問當事人,還真的是
笑死
Daniel avatarDaniel2019-05-08
電子帳單應該沒這問題吧?
Christine avatarChristine2019-05-10
是真的雷,電子帳單要去開pdf那個
Daniel avatarDaniel2019-05-12
台新連用它們自己的richart申請辦卡 都會有不會拋投資
料給信用卡部門進行審核的bug解不掉了
Hedda avatarHedda2019-05-14
要說它們資訊處理有多好 我也是呵呵
Hedwig avatarHedwig2019-05-16
只會道歉 道歉完也不會有任何改進的
Kama avatarKama2019-05-18
你說法有錯 不管有無SSL封包都是可以被攔截的而不是有https
就不會被攔截
Lauren avatarLauren2019-05-20
這種沒保護客戶資訊的問題可以報金管會
Joseph avatarJoseph2019-05-22
台灣銀行數位,你意外嗎?
Agnes avatarAgnes2019-05-24
http 80port +get 真狂
Hardy avatarHardy2019-05-26
有ssl你就算被攔截也要解得出來啊
Charlotte avatarCharlotte2019-05-28
http和twlnet一樣是明碼傳輸 就是裸奔 ssl就是有加密
telnet
Kristin avatarKristin2019-05-30
這樣實在不行
Agnes avatarAgnes2019-06-01
沒錯就算攔到也要能解密 但原PO的說法會讓人以為https就不
會被攔截 這是錯的
Catherine avatarCatherine2019-06-03
其實還有一點用GET也很危險…
Adele avatarAdele2019-06-05
用80port好危險
Poppy avatarPoppy2019-06-07
這樣敢說智慧好夥伴?
Rosalind avatarRosalind2019-06-09
智障好夥伴
Hardy avatarHardy2019-06-11
其實get post 在某些人眼中是沒有區別啦
Rachel avatarRachel2019-06-13
不懂 但是先關再說XD 感謝分享
Una avatarUna2019-06-15
銀行的IT普遍都很廢不意外阿 看看App store那堆跟屎一
樣的銀行app就知道
William avatarWilliam2019-06-17
一群正義魔人,以為只有你想的到嗎?為什麼不直接客訴
,要在這裡發文?
Madame avatarMadame2019-06-19
還真的只有我想到 謝謝指教 ^_^
Carolina Franco avatarCarolina Franco2019-06-21
要在 creditcard 板發文是我的權益 除非違反站規/板規
Eartha avatarEartha2019-06-23
台新網銀也是男用
Rosalind avatarRosalind2019-06-25
說網路銀行個資不值錢的,方便公開提供一下您的帳號密
碼嗎。網路時代孩子的教育依然不能等啊。
Frederica avatarFrederica2019-06-27
個茲很便宜沒錯 但是不值錢不代表銀行可以隨便處理客戶
的個資阿
這根本兩回事 硬扯在一起
Blanche avatarBlanche2019-06-29
帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能
看基本帳單資訊,好像也沒用https的必要啊…看個帳單要不要
再幫你兩步驟驗證一下?
Frederica avatarFrederica2019-07-01
https重點是封包加密 http則是明碼傳輸
Vanessa avatarVanessa2019-07-03
至少沒有呆到把身份證字號放在query string啦 XDDD
Edith avatarEdith2019-07-05
第一次收到行動帳單看到網址沒有s完全不想用…後來等p
df寄來
Sandy avatarSandy2019-07-07
有危險的感覺
Brianna avatarBrianna2019-07-09
要上新聞才會改吧
Valerie avatarValerie2019-07-11
我的台新帳單連輸入密碼都不用,直接打開就看得一清二楚==
Isla avatarIsla2019-07-13
又有這種個資不值錢論調,我以為來到長輩群組
Yedda avatarYedda2019-07-15
自動扣款沒啥在開帳單 因為原po仔細看帳單內容 姓名卡號都
Caroline avatarCaroline2019-07-17
有遮 感覺還好 白痴一點連安全碼都秀出來就很精采
平常不要透過別人的設備(wifi熱點 proxy)連網路就好 之前在
Andy avatarAndy2019-07-19
fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一
Daniel avatarDaniel2019-07-21
樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下
Thomas avatarThomas2019-07-23
巴掉了 BTW ptt也有23跟443之分~
Xanthe avatarXanthe2019-07-25
然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!!
Caroline avatarCaroline2019-07-27
誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有
吃https就好了啊 大驚小怪
Skylar Davis avatarSkylar Davis2019-07-29
這真的扯
Bethany avatarBethany2019-07-31
扯爆
Linda avatarLinda2019-08-02
給蘋果日報
Liam avatarLiam2019-08-04
高調
Noah avatarNoah2019-08-06
高調
Faithe avatarFaithe2019-08-08
台新網銀超爛,爛到我公司戶直接換別家用
Audriana avatarAudriana2019-08-10
太扯了 該換別家了
Sierra Rose avatarSierra Rose2019-08-12
台新只再乎趕著推出新產品,完全不在乎品質,這還能相信
他嗎?
Regina avatarRegina2019-08-14
台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單
John avatarJohn2019-08-16
超扯
Annie avatarAnnie2019-08-18
所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢
討報告了
Kelly avatarKelly2019-08-20
取消能用app嗎 找不到說 還是要從客服?
George avatarGeorge2019-08-22
好險我是軟體白癡看不懂這篇,當作沒事飄過去。
Harry avatarHarry2019-08-24
太扯
Tristan Cohan avatarTristan Cohan2019-08-26
這個拿去給數聯資安做滲透測試應該滿滿的缺失
Lauren avatarLauren2019-08-28
get只能傳頁數或日期這種不重要的參數
機敏性資料還是得用POST來傳
Lydia avatarLydia2019-08-30
另外https還要看標頭有沒有Strict Transport Securit
y
Erin avatarErin2019-09-01
長知識
Hedy avatarHedy2019-09-03
xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有
誰有興趣? 反正您不在意對吧
Sierra Rose avatarSierra Rose2019-09-05
高調...扯
Poppy avatarPoppy2019-09-07
實際上還是一堆人不覺得有問題啦
Hardy avatarHardy2019-09-09
合規檢視...怎麼過的
Victoria avatarVictoria2019-09-11
系統分級把它排掉就好啦
Vanessa avatarVanessa2019-09-13
卡版有人回報台新行動帳單已經改成https了,沒想到台新
修正的還蠻快的,感覺還是非常重視資安 至少有重視用戶
的回饋,大家可以看一下自己的帳單有沒有修正~
Emily avatarEmily2019-09-15
小弟菜逼八想問這種金流可能走 SHTTP嗎?
Hedda avatarHedda2019-09-17
台新http很久了,還好我很窮