永豐金憑證保護密碼ptt、永豐金憑證中心、永豐金換手機憑證在PTT/mobile01評價與討論,在ptt社群跟網路上大家這樣說
永豐金憑證保護密碼ptt在[新聞] 系統爆「撞庫攻擊」 三竹:與之無關- 看板Stock
原文標題:
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
原文連結:
https://www.ctwant.com/article/152883
發布時間:2021-11-26 18:14
原文內容:
國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞
庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控
股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,
也因此暫停複委託電子下單。
三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董
事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並
無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統
完全無關。
元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入
侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由
三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大
證券尋求的合作廠商。
三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼?
一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因
此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾
常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。
由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「
行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真
正原因,還有待元大證調查了解。
目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登
錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,
即是一次性單次有效密碼,補強下單交易防護力。
以下為三竹資訊聲明全文。
針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,
本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服
務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。
經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶
密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證
券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及
統一證券表示已暫停複委託電子交易,改採人工下單。
對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯
。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
心得/評論:
三竹連老闆邱老大都出面啦~~講的很詳細內~
所以元大的賠償......???
三竹:這鍋我不背!
--
推 cuteSquirrel: 最離譜的是憑證怎麼掉的 = = 11/26 18:43
推 AxelGod : 董事長總經理直接出面說了 與山竹無關 元大: 11/26 18:47
→ mioz : 每秒幾千萬上下還要OTP 這下元大要崩了 11/26 18:48
推 stlinman : 呵呵 ~ 安撫客戶說法 " 都是別人出包! " 11/26 18:48
推 gint5566 : 這個不出手 去管那個桌曆ZZ 11/26 18:49
推 BDrip : 憑證就用生日來取得的呀 生日都當密碼了 11/26 18:49
推 neo5277 : 跟我預測的一樣XDXDXDXDXDX 11/26 18:51
推 loveponpon : 三竹:欸這鍋我不要揹 你自己背 11/26 18:52
→ tinlans : OTP 其實安卓手機已經有先例可以被駭客偷了。 11/26 18:54
→ tinlans : 憑證機制其實也是台灣特產,外國只有 OTP。 11/26 18:54
→ tctv2002 : 乾脆下單 多做一個指紋認證算了xd 11/26 18:56
→ tinlans : 不可能是撞庫,一般撞庫用的帳密清單是自己取的 ID 11/26 18:56
→ tinlans : 上面講的密碼用身份證字號比較有可能,要問一下 11/26 18:57
→ tinlans : 受害人是不是都這樣設密碼。 11/26 18:57
推 neo5277 : xss 很久以後 針對性吧早上怕被告我把文都刪了XD 11/26 18:58
推 BDrip : 你提醒文都刪了 我就去備份站看了 這樣會不會被告( 11/26 19:00
推 neo5277 : 還有備份喔?我來找找 11/26 19:01
推 neo5277 : 靠真的有 但是我覺得應該89不離十 11/26 19:04
→ tinlans : xss 也要證券商有 web API 給你跨站導過去吧 11/26 19:05
→ tinlans : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行 11/26 19:05
推 wyytw : 甩鍋 11/26 19:05
→ apple123773 : 結果元大開大 說這些人的密碼都是.....XD 11/26 19:07
→ tinlans : 不過說真的如果是拿戶政外洩資料的身份證字號和生日 11/26 19:07
→ tinlans : 去撞庫的,那絕對不可能只有這兩家出事。 11/26 19:07
推 neo5277 : 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的 11/26 19:07
→ neo5277 : 然後配上有人說下單營業員看到適用行動精靈 11/26 19:08
推 Mazu323 : 的確如果只是單純的帳密~不該只有這兩家有問題 11/26 19:09
推 lolic : 全推給民眾最簡單囉 11/26 19:09
推 jerrylin : 所以就是被駭客駭了 解釋一堆幹嘛 11/26 19:10
→ tinlans : 帳密被盜這件事幾乎是肯定的,只是如新聞標題說的是 11/26 19:10
→ tinlans : 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID 11/26 19:10
→ tinlans : 很難關聯到你的身份證字號。 11/26 19:11
→ tinlans : 基本上應該至少有兩個問題存在:1. 人為流出個資 11/26 19:12
→ tinlans : 2. 後端盲信自己接收到的輸入全部合法。 11/26 19:12
推 hhhomerun : 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你 11/26 19:13
→ hhhomerun : 登入進去 想要你輸入生日也很簡單好嗎 11/26 19:13
→ hhhomerun : 都到手以後 再用行動裝置去登入和裝憑證 就下單了 11/26 19:14
→ tinlans : 不管是釣魚還是撞庫,都無法解釋只有這兩家出事啊 11/26 19:14
推 apolloapollo: 猛撞攻擊 11/26 19:15
→ hhhomerun : 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的 11/26 19:16
→ hhhomerun : 帳密去登看起來像元大的網站? 不會啊 11/26 19:16
→ tinlans : 合理 11/26 19:17
→ hhhomerun : 還是你覺得詐騙集團就是要認真為台灣50家券商都做一 11/26 19:17
噓 setsunaxia : 唬爛的,明明就資料外洩 11/26 19:17
→ hhhomerun : 個網站 顯然不會 要做就挑大的做就好 11/26 19:17
推 koibido : 是不是vip戶直接連到後台結果被駭 11/26 19:19
→ tinlans : 確實這樣是可能的,而且問受害當事人一般也很難記住 11/26 19:19
→ hhhomerun : 而且 這根本到國安層級了 券商和廠商再吵也沒意義 11/26 19:19
→ tinlans : 自己有沒有開過這種網站。但既然搜尋引擎上看不到, 11/26 19:19
→ tinlans : 那透過簡訊或電子郵件提供網址的可能性就很高, 11/26 19:20
→ hhhomerun : 我猜 以後大家手機登入下單系統 可能都要先打OTP才 11/26 19:20
→ hhhomerun : 能下單了 11/26 19:20
→ tinlans : 事後也容易跟受害人收集到共通點。 11/26 19:21
推 BDrip : 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些 11/26 19:21
→ BDrip : 單 幹嘛再增加成本( 11/26 19:21
→ tinlans : 憑證確實是一個很奇怪的東西,外國都是 OTP 而已。 11/26 19:23
→ tinlans : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度 11/26 19:24
推 now99 : 綁定手機裝置,FIDO驗證就可以了 11/26 19:24
推 pastrolia : 與之無關…?文言文嗎? 11/26 19:28
→ schula : 下單都要OTP太麻煩了吧,明明是元大自己安全性問題 11/26 19:36
推 Castle88654 : 元大週刊王踹共 11/26 19:39
推 shadow0326 : 看不懂在寫什麼 11/26 19:50
推 zxxz67 : 元大是不是金主阿 直接無視不查 11/26 19:51
→ s860134 : 手機下單憑證可以登入後申請 其實沒啥用 11/26 19:52
→ s860134 : 憑證是在證明你是這個人,但是你只要帳密就能登入 11/26 19:53
→ s860134 : 幹嘛還多一個憑證申請XD 11/26 19:53
推 pippen2002 : 踢皮球大賽囉,鬼島鬼股投資人真可憐?! 11/26 19:53
推 BDrip : 誰叫憑證申請那麼簡單( 11/26 19:54
→ s860134 : 簡單來說只要有帳密,就能下單了拉 生日都不用 11/26 19:54
→ s860134 : 我用過五家券商(第一凱基永豐鑫豐日盛)手機都是三竹 11/26 19:56
→ s860134 : 憑證都是你登入後就能申請了 11/26 19:57
→ s860134 : 所以我一直搞不懂下單要憑證幹嘛?完全沒更安全 11/26 19:57
→ overhead : 我之前就覺得登入後申請憑證邏輯很怪的,還以為是 11/26 20:01
→ overhead : 自己不懂資安,結果是真的很怪啊 11/26 20:01
→ bitlife : 憑證的用途是用來做為[不可否認],以前有陣子我印象 11/26 20:01
→ bitlife : 是要先臨櫃申請PC的,然後下載手機的必須透過PC啟動 11/26 20:02
→ bitlife : 傳到手機這個動作,等於是PC替手機做背書,可能後來很 11/26 20:02
→ bitlife : 多年輕人只用手機,而且都線上申辦不臨櫃,才放寬了這 11/26 20:02
→ bitlife : 個限制,但又沒加上簡訊綁定成功才能下載之類的防範 11/26 20:03
→ bitlife : 措施,於是就變成前面推文說的奇怪現象 11/26 20:03
推 jerrylin : 還好我只用券商軟體下單不用手機下單 11/26 20:04
→ brella : 誇張 11/26 20:04
→ jerrylin : 這樣有事一定是券商要賠我錢 11/26 20:04
推 Kobe5210 : 還好我老古板,習慣用電腦網頁下單... 11/26 20:09
推 overhead : 但電腦一樣有被駭的機率吧xd 11/26 20:10
推 shyshyan : 問題是不是有帳號密碼就能下單 還要有憑證 他怎麼 11/26 20:12
→ shyshyan : 弄到憑證?或者他不用憑證就能下單? 11/26 20:12
推 honeypeanut : 金管會:沒事兒沒事兒 11/26 20:13
→ shyshyan : 而且帳號都是身分證 是有多少網站用身分證當帳號== 11/26 20:13
推 diogofseixas: 券商的憑證是笑話啊,輸入生日即可取得 11/26 20:14
推 s860134 : 手機憑證可以登入後申請: 所以我只需要帳密阿XD 11/26 20:15
→ s860134 : 輸入生日還多一層保護咧 11/26 20:16
推 shyshyan : 一堆人被盜帳號在差不多時間買仙股 最好是帳號被盜 11/26 20:16
→ shyshyan : 那麼簡單啦== 11/26 20:16
→ shyshyan : 怎麼想都是你系統被駭 被掃出一堆帳號下單好嗎 11/26 20:17
→ s860134 : 很多人是因為沒開複委託所以不知道已經外洩了八.. 11/26 20:22
→ s860134 : 這次都是有開複委託 11/26 20:22
→ s860134 : 下次直接搞有開期貨的,弄出下一個 0206 慘案XD 11/26 20:23
→ bitlife : 期貨比較沒那麼容易,因為保證金要自己主動匯款進去 11/26 20:25
→ bitlife : 保證金帳戶,不像股票圈存是下單時自動被圈 11/26 20:26
→ linkmusic : 這下糗了憑証也不甘三竹的事 11/26 20:54
→ linkmusic : 憑証是委外哪家作的為啥元大不公布? 11/26 20:56
→ nacy204327 : 該不會是ㄍㄨㄢ…… 11/26 21:00
推 WhitePope : 憑證並非沒用,而是用來防止側錄和偽裝攻擊。如果沒 11/26 21:04
→ WhitePope : 有憑證,駭客就可以側錄網路流量,錄下你的交易資訊 11/26 21:04
→ WhitePope : 破解後,再做一個和交易app一樣的假app, 偽裝成你去 11/26 21:04
→ WhitePope : 下單 11/26 21:04
→ WhitePope : 注意這個差別是,app 和券商部份完全沒漏洞和過失。 11/26 21:05
→ WhitePope : 駭客就可以只靠側錄完成入侵交易。這就是憑證的重要 11/26 21:05
→ WhitePope : 性 11/26 21:05
推 WhitePope : 說憑證沒用就像你家被小偷破窗偷入,你說:大門真沒 11/26 21:07
→ WhitePope : 用,小偷從窗戶就可以進來了,不如把大門拆下來好了 11/26 21:07
推 WhitePope : 其實重點在為什麼憑證那麼好取得吧?這就像你家裝了 11/26 21:11
→ WhitePope : 無敵防盜門窗,但你卻把大門鑰匙放在門旁的花盆底下 11/26 21:11
推 WhitePope : 增加憑證的取得認證才是應該要做的事。例如要去券 11/26 21:16
→ WhitePope : 商登記手機,取得憑證時要經過OTP認證。 11/26 21:16
→ tctv2002 : 我覺得下載憑證 可以多一道視訊認證 11/26 21:28
→ tctv2002 : 類似網銀視訊開卡 亮身分證之類的 11/26 21:29
推 stot404 : 我密碼跟身分證還有生日完全無關,可以說是一串亂碼 11/26 22:55
→ stot404 : 喔0.0) 11/26 22:55
→ Arpia : 看山竹這重訊,應該就不關app的事 11/26 23:34
→ Arpia : 出包的券商只一直說app帳密問題,好像完全避談它發 11/26 23:34
→ Arpia : 的“憑證” 11/26 23:34
推 ericsg : 台灣證券的憑證就只有一家做最多啦 11/26 23:52
推 Assyla : 看完這則新聞,一直懷疑其實統一是被亂拉出來的 11/27 00:17
→ Assyla : 不然只有元大有問題了,就很難推給三竹 11/27 00:17
推 vyvian : 就全部改用自然人憑證吧 每次交易都要插卡最安全 11/27 01:53
→ llw116 : 憑證只是對下單內容做加密,後台再驗證簽文與下單 11/27 03:16
→ llw116 : 內容是否符合,單純撈到憑證不一定有用,還要看簽 11/27 03:16
→ llw116 : 文的格式,可能要看簽文的格式是否外洩。 11/27 03:16
推 ntg123 : 哈!懂的人就知道問題出在誰了 11/27 05:42
推 neil25 : 一直在討論用戶端 有人沒開複委託沒開外幣帳戶 一 11/27 09:37
→ neil25 : 樣被下單 感覺是直接入侵資料庫下單的 11/27 09:37
推 dunjiin : 有人沒下載行動下單也中,所以完全是憑證漏洞,無 11/27 22:27
→ dunjiin : 關你用不用 11/27 22:27
推 dunjiin : 回127樓,手機插卡下單,強人所難 11/27 22:31
永豐金憑證保護密碼ptt關鍵字相關的推薦文章
永豐金憑證保護密碼ptt在憑證保護密碼在PTT/Dcard完整相關資訊 - 數位感的討論與評價
永豐金 證券理財網-客服中心-新手上路-憑證管理1. 請進入EZ Trade網路交易平台( https://eztrade.sinopac.com.tw/ ) ,輸入身分證字號(或分公司代號及帳號)及網路下單密碼, ...
永豐金憑證保護密碼ptt在密碼專區 - 永豐金證券的討論與評價
... 107年金管證總字第0006號; 111年金管期總字第002號(委任期貨商永豐期貨). 客戶資料保密措施 · 隱私權保護聲明 · 共同行銷商品契約 · 網站免責聲明.
永豐金憑證保護密碼ptt在tw投資人行動網憑證保護密碼 - 健康急診室的討論與評價
提供tw投資人行動網憑證保護密碼相關PTT/Dcard文章,想要了解更多tw投資人行動網 ... 熱門問答- 永豐金證券下載憑證時,電腦出現【產製憑證請求資訊(CSR失敗)】錯誤 ...
永豐金憑證保護密碼ptt在ptt上的文章推薦目錄
永豐金憑證保護密碼ptt在永豐金換手機憑證在PTT/mobile01評價與討論 - 素食蔬食資訊 ...的討論與評價
在憑證保護密碼忘記這個討論中,有超過5篇Ptt貼文,作者CurryMvp也提到遙想當年馬利克的背被刺上法老王的意志把王的意志守護下來亞圖姆也成功拿下三張神之卡如今是不是 ...
永豐金憑證保護密碼ptt在永豐金憑證保護密碼ptt :: 全台銀行資訊網的討論與評價
所在城市:台北市銀行名稱:永豐商業銀行濟南路分行銀行代號:8071837詳細地址:中正區濟南路2段39號1樓、地下1樓連絡電話:04-23...
永豐金憑證保護密碼ptt在永豐金證券-(A2) 憑證申請教學 - YouTube的討論與評價
Transcript · 小資族買台積電&0050! · 【2019.06.19播出精彩片段】竟然有「票面保本」的股票? · 零股交易8家券商手續費統整與APP評比操作! · 【阿格力】 ...
永豐金憑證保護密碼ptt在【永豐憑證忘記密碼】下單軟體-永豐期貨 +1 | 健康跟著走的討論與評價
永豐 銀行「MMA標會理財網」甫榮獲由資策會主辦之第八屆「e-21金網獎」金質獎殊榮,本屆金網獎由75家優良電子商務廠商角逐,「MMA標會理財網」在8家大金網獎入圍複選名單中 ...
永豐金憑證保護密碼ptt在[請益] ~請問永豐金的憑證與複委託~ - 看板Stock - PTT網頁版的討論與評價
最近剛開了永豐MMA+ 有拿到永豐證的網銀、語音、與複委託的密碼單進了永豐證的網路下單系統卻一直無法下載憑證看網站上的說明要變更ActiveX 照著指示做了之後執行憑證 ...
永豐金憑證保護密碼ptt在永豐金ileader 憑證的討論與評價
1. 請開啟電子交易平台EZ-Trade,輸入身分證字號(或分公司帳號)及交易密碼後進入交易系統。. 點選上方工具列的【個人服務】後,再點擊【憑證管理】的 ...
永豐金憑證保護密碼ptt在永豐銀行Bank SinoPac - 客服中心- 常見問題的討論與評價
申請登入; 憑證服務; 臺幣付款; 外幣付款; 環境設定. Q. 當「使用者代號」或「登入密碼」忘記或連續錯誤數次該怎麼辦? A. 依不同權限角色說明如下: