台新行動帳單居然走 http 協定 - 資安

Candice avatar
By Candice
at 2019-02-04T22:19

Table of Contents

※ [本文轉錄自 creditcard 看板 #1SLdkJkU ]

作者: bignoob (有我嫩嗎) 看板: creditcard
標題: [討論] 台新行動帳單居然走 http 協定
時間: Sun Feb 3 13:26:36 2019

首先我認為

信用卡帳單應該是極為私密的東西

裡面包含:姓名、卡號末4碼、上月消費明細、額度、自動扣繳帳戶等資訊


上個月不小心在活動登錄時,誤登入台新銀行"行動帳單"的活動


誤登入還好,可以進 PC版台新網銀取消,取消步驟:
https://www.ptt.cc/bbs/creditcard/M.1539620480.A.D8C.html

但是收到這個行動帳單就覺得不OK了


行動帳單的網址格式如下:
http://bhurecv.taishinbank.com.tw/taishin_ba/OnlineBill.aspx?v=XXX&u=XXX

v=
u=
為兩個參數

點進去之後,輸入身分證字號即可看到帳單

但是
但是
但是

台新居然使用 http 協定

http協定並沒有加密,你傳送和回應的任何東西,在傳輸過程都可以輕易被攔截

網址中的v參數和u參數被知道沒關係

但是你的身分證字號也是明碼在網路上送耶 !!!

許多瀏覽器在你使用 http 傳輸個人私密資訊時都會提示你了

台新居然不知道???

有申請的人趕快改回電子帳單吧

這個行動帳單,其實已經推行一年多了

一年多了喔 台新整整一年都在用 http 送帳單資訊出去

沒人發現?

不知道 http 嚴重性?

還是 ?_?

--
Tags: 資安

All Comments

Dora avatar
By Dora
at 2019-02-06T22:31
這麼狂喔…直接用get接資料
Kelly avatar
By Kelly
at 2019-02-08T22:42
喔喔有點搞錯
Hedda avatar
By Hedda
at 2019-02-10T22:53
http post送你的身分證出去 收你的帳單回來
Jake avatar
By Jake
at 2019-02-12T23:04
第一次收到簡訊的時候 還以為詐騙...
行動帳單做的超陽春還80port, 根本大漏洞
Victoria avatar
By Victoria
at 2019-02-14T23:15
智慧好夥伴 真諷刺
Regina avatar
By Regina
at 2019-02-16T23:26
基本上有關密碼跟個資都該用https,沒看到https的
我都首先懷疑是詐騙,居然還有銀行會用http,頗恐
Cara avatar
By Cara
at 2019-02-18T23:38
可怕
Valerie avatar
By Valerie
at 2019-02-20T23:49
習慣就好
Heather avatar
By Heather
at 2019-02-23T00:00
帳單回傳被人MITM加料,或是被竊聽也很可怕
Anonymous avatar
By Anonymous
at 2019-02-25T00:11
有誇張到=_=
Thomas avatar
By Thomas
at 2019-02-27T00:22
等下會有人說反正你的個資又不值錢
James avatar
By James
at 2019-03-01T00:33
Rebecca avatar
By Rebecca
at 2019-03-03T00:45
你的個資又不值錢 拿你的個資要幹嘛?
Hedy avatar
By Hedy
at 2019-03-05T00:56
釣魚成功 傻眼
Ivy avatar
By Ivy
at 2019-03-07T01:07
我都開VPN
Madame avatar
By Madame
at 2019-03-09T01:18
反串啦XDDDDD
Queena avatar
By Queena
at 2019-03-11T01:29
XDDDD
Bethany avatar
By Bethany
at 2019-03-13T01:40
直接向金管會檢舉 重罰兩晚萬
Eartha avatar
By Eartha
at 2019-03-15T01:52
我也有用台新行動帳單耶,完全不知道那麼可怕!!順便問s1
大,這個為啥會被金管會罰?好奇^^\\
Linda avatar
By Linda
at 2019-03-17T02:03
可能是在幫對岸作工
George avatar
By George
at 2019-03-19T02:14
開VPN走http超危險 傳輸資料全部接收
Charlotte avatar
By Charlotte
at 2019-03-21T02:25
Bennie avatar
By Bennie
at 2019-03-23T02:36
這太扯
Hamiltion avatar
By Hamiltion
at 2019-03-25T02:47
補上證明: https://i.imgur.com/4YIE73n.jpg
Kelly avatar
By Kelly
at 2019-03-27T02:59
https://i.imgur.com/iIxmbrj.jpg
Frederic avatar
By Frederic
at 2019-03-29T03:10
who car
Franklin avatar
By Franklin
at 2019-03-31T03:21
文組:??(真心不懂)
Selena avatar
By Selena
at 2019-04-02T03:32
真的很瞎,銀行資安這樣搞的
Gilbert avatar
By Gilbert
at 2019-04-04T03:43
IT 呵呵
Emma avatar
By Emma
at 2019-04-06T03:54
っq
Valerie avatar
By Valerie
at 2019-04-08T04:06
紙本帳單也沒有加密(也不保證送達
Gary avatar
By Gary
at 2019-04-10T04:17
銀行這種資安程度...
Andy avatar
By Andy
at 2019-04-12T04:28
笑死
Edith avatar
By Edith
at 2019-04-14T04:39
推高調 那麼大間銀行 應改善
Erin avatar
By Erin
at 2019-04-16T04:50
文組:你在說啥東東?
Yedda avatar
By Yedda
at 2019-04-18T05:01
誇張 這樣我都不太敢用台新的 app了
Suhail Hany avatar
By Suhail Hany
at 2019-04-20T05:13
還好我用華為分享器不怕
Adele avatar
By Adele
at 2019-04-22T05:24
拿紙本帳單來講 zzz
Suhail Hany avatar
By Suhail Hany
at 2019-04-24T05:35
這種資安程度 ...
Dinah avatar
By Dinah
at 2019-04-26T05:46
get parameter / post
Damian avatar
By Damian
at 2019-04-28T05:57
好扯…
Donna avatar
By Donna
at 2019-04-30T06:08
好扯,還好沒用行動帳單
Oscar avatar
By Oscar
at 2019-05-02T06:20
杜老爺: 危言慫聽
Linda avatar
By Linda
at 2019-05-04T06:31
某名字是地區合併銀行 N前年資料傳送也是沒加密
Bennie avatar
By Bennie
at 2019-05-06T06:42
我們公司Gateway還錄到密碼,跑去問當事人,還真的是
笑死
Daniel avatar
By Daniel
at 2019-05-08T06:53
電子帳單應該沒這問題吧?
Christine avatar
By Christine
at 2019-05-10T07:04
是真的雷,電子帳單要去開pdf那個
Daniel avatar
By Daniel
at 2019-05-12T07:15
台新連用它們自己的richart申請辦卡 都會有不會拋投資
料給信用卡部門進行審核的bug解不掉了
Hedda avatar
By Hedda
at 2019-05-14T07:27
要說它們資訊處理有多好 我也是呵呵
Hedwig avatar
By Hedwig
at 2019-05-16T07:38
只會道歉 道歉完也不會有任何改進的
Kama avatar
By Kama
at 2019-05-18T07:49
你說法有錯 不管有無SSL封包都是可以被攔截的而不是有https
就不會被攔截
Lauren avatar
By Lauren
at 2019-05-20T08:00
這種沒保護客戶資訊的問題可以報金管會
Joseph avatar
By Joseph
at 2019-05-22T08:11
台灣銀行數位,你意外嗎?
Agnes avatar
By Agnes
at 2019-05-24T08:22
http 80port +get 真狂
Hardy avatar
By Hardy
at 2019-05-26T08:34
有ssl你就算被攔截也要解得出來啊
Charlotte avatar
By Charlotte
at 2019-05-28T08:45
http和twlnet一樣是明碼傳輸 就是裸奔 ssl就是有加密
telnet
Kristin avatar
By Kristin
at 2019-05-30T08:56
這樣實在不行
Agnes avatar
By Agnes
at 2019-06-01T09:07
沒錯就算攔到也要能解密 但原PO的說法會讓人以為https就不
會被攔截 這是錯的
Catherine avatar
By Catherine
at 2019-06-03T09:18
其實還有一點用GET也很危險…
Adele avatar
By Adele
at 2019-06-05T09:29
用80port好危險
Poppy avatar
By Poppy
at 2019-06-07T09:41
這樣敢說智慧好夥伴?
Rosalind avatar
By Rosalind
at 2019-06-09T09:52
智障好夥伴
Hardy avatar
By Hardy
at 2019-06-11T10:03
其實get post 在某些人眼中是沒有區別啦
Rachel avatar
By Rachel
at 2019-06-13T10:14
不懂 但是先關再說XD 感謝分享
Una avatar
By Una
at 2019-06-15T10:25
銀行的IT普遍都很廢不意外阿 看看App store那堆跟屎一
樣的銀行app就知道
William avatar
By William
at 2019-06-17T10:36
一群正義魔人,以為只有你想的到嗎?為什麼不直接客訴
,要在這裡發文?
Madame avatar
By Madame
at 2019-06-19T10:48
還真的只有我想到 謝謝指教 ^_^
Carolina Franco avatar
By Carolina Franco
at 2019-06-21T10:59
要在 creditcard 板發文是我的權益 除非違反站規/板規
Eartha avatar
By Eartha
at 2019-06-23T11:10
台新網銀也是男用
Rosalind avatar
By Rosalind
at 2019-06-25T11:21
說網路銀行個資不值錢的,方便公開提供一下您的帳號密
碼嗎。網路時代孩子的教育依然不能等啊。
Frederica avatar
By Frederica
at 2019-06-27T11:32
個茲很便宜沒錯 但是不值錢不代表銀行可以隨便處理客戶
的個資阿
這根本兩回事 硬扯在一起
Blanche avatar
By Blanche
at 2019-06-29T11:43
帶鍵碼專用連結+讓你用網頁表單key身份字號登入…裡面只能
看基本帳單資訊,好像也沒用https的必要啊…看個帳單要不要
再幫你兩步驟驗證一下?
Frederica avatar
By Frederica
at 2019-07-01T11:55
https重點是封包加密 http則是明碼傳輸
Vanessa avatar
By Vanessa
at 2019-07-03T12:06
至少沒有呆到把身份證字號放在query string啦 XDDD
Edith avatar
By Edith
at 2019-07-05T12:17
第一次收到行動帳單看到網址沒有s完全不想用…後來等p
df寄來
Sandy avatar
By Sandy
at 2019-07-07T12:28
有危險的感覺
Brianna avatar
By Brianna
at 2019-07-09T12:39
要上新聞才會改吧
Valerie avatar
By Valerie
at 2019-07-11T12:50
我的台新帳單連輸入密碼都不用,直接打開就看得一清二楚==
Isla avatar
By Isla
at 2019-07-13T13:02
又有這種個資不值錢論調,我以為來到長輩群組
Yedda avatar
By Yedda
at 2019-07-15T13:13
自動扣款沒啥在開帳單 因為原po仔細看帳單內容 姓名卡號都
Caroline avatar
By Caroline
at 2019-07-17T13:24
有遮 感覺還好 白痴一點連安全碼都秀出來就很精采
平常不要透過別人的設備(wifi熱點 proxy)連網路就好 之前在
Andy avatar
By Andy
at 2019-07-19T13:35
fb看到中國白帽露一手 就算有https照樣取得資料 跟yo叔一
Daniel avatar
By Daniel
at 2019-07-21T13:46
樣會繞過去取資料(? 從此完全不會想連別人的wifi 真的是下
Thomas avatar
By Thomas
at 2019-07-23T13:57
巴掉了 BTW ptt也有23跟443之分~
Xanthe avatar
By Xanthe
at 2019-07-25T14:09
然後 我想看帳單都用他們家的App加指紋辦識不用記密碼!!!
Caroline avatar
By Caroline
at 2019-07-27T14:20
誰有興趣無聊看陌生人的帳單有啥 重要的service像網銀有
吃https就好了啊 大驚小怪
Skylar Davis avatar
By Skylar Davis
at 2019-07-29T14:31
這真的扯
Bethany avatar
By Bethany
at 2019-07-31T14:42
扯爆
Linda avatar
By Linda
at 2019-08-02T14:53
給蘋果日報
Liam avatar
By Liam
at 2019-08-04T15:04
高調
Noah avatar
By Noah
at 2019-08-06T15:16
高調
Faithe avatar
By Faithe
at 2019-08-08T15:27
台新網銀超爛,爛到我公司戶直接換別家用
Audriana avatar
By Audriana
at 2019-08-10T15:38
太扯了 該換別家了
Sierra Rose avatar
By Sierra Rose
at 2019-08-12T15:49
台新只再乎趕著推出新產品,完全不在乎品質,這還能相信
他嗎?
Regina avatar
By Regina
at 2019-08-14T16:00
台新網銀很棒喔,用好幾年了~ 感謝原po我已取消行動帳單
John avatar
By John
at 2019-08-16T16:11
超扯
Annie avatar
By Annie
at 2019-08-18T16:23
所有個資都要加密哦 跟金管會檢舉資訊部門就要寫檢
討報告了
Kelly avatar
By Kelly
at 2019-08-20T16:34
取消能用app嗎 找不到說 還是要從客服?
George avatar
By George
at 2019-08-22T16:45
好險我是軟體白癡看不懂這篇,當作沒事飄過去。
Harry avatar
By Harry
at 2019-08-24T16:56
太扯
Tristan Cohan avatar
By Tristan Cohan
at 2019-08-26T17:07
這個拿去給數聯資安做滲透測試應該滿滿的缺失
Lauren avatar
By Lauren
at 2019-08-28T17:18
get只能傳頁數或日期這種不重要的參數
機敏性資料還是得用POST來傳
Lydia avatar
By Lydia
at 2019-08-30T17:30
另外https還要看標頭有沒有Strict Transport Securit
y
Erin avatar
By Erin
at 2019-09-01T17:41
長知識
Hedy avatar
By Hedy
at 2019-09-03T17:52
xkp 那方便分享您的帳單連結或無碼帳單嗎? 看看有沒有
誰有興趣? 反正您不在意對吧
Sierra Rose avatar
By Sierra Rose
at 2019-09-05T18:03
高調...扯
Poppy avatar
By Poppy
at 2019-09-07T18:14
實際上還是一堆人不覺得有問題啦
Hardy avatar
By Hardy
at 2019-09-09T18:25
合規檢視...怎麼過的
Victoria avatar
By Victoria
at 2019-09-11T18:37
系統分級把它排掉就好啦
Vanessa avatar
By Vanessa
at 2019-09-13T18:48
卡版有人回報台新行動帳單已經改成https了,沒想到台新
修正的還蠻快的,感覺還是非常重視資安 至少有重視用戶
的回饋,大家可以看一下自己的帳單有沒有修正~
Emily avatar
By Emily
at 2019-09-15T18:59
小弟菜逼八想問這種金流可能走 SHTTP嗎?
Hedda avatar
By Hedda
at 2019-09-17T19:10
台新http很久了,還好我很窮

史上「最大規模」7.73億筆電子郵件帳密遭

Ursula avatar
By Ursula
at 2019-01-18T14:59
※ [本文轉錄自 Gossiping 看板 #1SGNRa4O ] 作者: Anddyliu (安滴滴) 看板: Gossiping 標題: [新聞] 史上「最大規模」7.73億筆電子郵件帳密遭 時間: Fri Jan 18 14:49:04 2019 1.媒體來源: ※ 例如蘋果日報、奇摩新聞 自由 ...

email被加註gsn suspected spam

Sandy avatar
By Sandy
at 2019-01-15T10:49
最近發現email上被加註gsn suspected spam字樣,不清楚是從何而來, 查看了設定,感覺只有一個社交工程防禦的選項,無法被取消, 不知道是不是跟這有關; google 只查到 政府資安服務gsn, 請問有沒有板友知道 這要如何關閉? 感謝。 補充一下,每次寄信都會把信寄副本給自己 ...

資策會ISO27002資訊安全管理國際認證班

Dinah avatar
By Dinah
at 2019-01-14T14:53
徵求對有興趣的版友一起報名ISO27002資訊安全管理國際認證班 活動名稱:資策會ISO27002資訊安全管理國際認證班 活動時間:108/02/16-108/02/17 (日) 9:00-17:00 活動地點:資策會數位教育研究所,台北市信義路三段153號10樓 活動人數:10人開班 活動費用:2019 ...

購票App遭「天才駭客」詐款20萬!高鐵硬起來

Belly avatar
By Belly
at 2019-01-13T00:05
購票App遭「天才駭客」詐款20萬!高鐵硬起來:追訴民、刑事責任 https://www.ettoday.net/amp/amp_news.php?news_id=1353923andamp;from=rssandamp;fbclid=IwAR3slzESXK5eHEKfsXuqPvW6Eovv4FLSat ...

專注中文情蒐的情報餵送公司

Dinah avatar
By Dinah
at 2019-01-09T16:01
目前市面上比較有名的資安情報餵送公司比如FireEye CrowdStrike LookingGlass等等, 都可以對網路上的英文情報做很好的蒐集, 但是不清楚他們對中文的網路威脅情蒐能力是否成熟。 因為現在中國來的APT愈來愈嚴重,很多企業都開始注意到中文的情蒐,是否有熟悉這個 領域的朋友能幫忙推薦一些中 ...