Re: [請益]營業員打來詢問是否有買港股

看板 Stock
時間
留言 83則留言,40人參與討論
推噓 32  ( 33推 1噓 49→ )
討論串 2
一般來說 手機下單軟體就是往後敲,webapi 其他裝置,基本上也是除了廣播行情會用socket以外其他這幾年應該都是api了,券商交 易 整個大架構也分前中後台 前台多半是處理,驗證跟下單的邏輯 成單後丟進中台送到證交所期交所去競價去了 然後回報進後台或是一樣中台處理,成交再發訊息,給用戶端跟自己做紀錄。 下單基本上,憑證,id(補充這裡會有數位簽章)然後會走一個訂閱制 成單就會透過系統往回送訊息,照上面推文的一些細節來看,駭客應該是用了軟體虛擬機 (就是我們程式設計在開發的有時候不會有手機 可以刷或是裝會用 軟體虛擬一個手機介面,或是他直接拿apk檔去刷機用) 然後不知道從哪裡盜來的憑證,可能是利用js的xss攻擊,這種就是很常會發生,作假的 網站或是真的網站利用js注入把你輸入進去登入資料 也順便轉一份到駭客js設定好的地方,很常發生在忘記密碼重登或是廣告信,中獎信這樣 。 (提醒 大家點或是登入前要注意網站網址跟logo) 再利用原始程式碼,編譯出來的執行檔搭配憑證下去操作,投資先生出來之前前是有點精 靈的app版 對server端來說他也不太會去檢查你這次是用什麼裝置,畢竟下單哪裡方便用哪裡,大概 就是做個紀錄在那邊下的。 只是,他怎麼知道那些複委託帳戶有資金,還是他真的就是暴力解每個帳號都試? 那今天應該會有很多人收到消息 然後我覺得他們應該是急著完成,沒得商量那種 因為他們沒有考慮成交回報得子系統會對同一個帳號不同裝置,統一發佈成交回報。 或者說,他們只想快點脫手? 不知道這錢現在跑去哪了。 我是很想知道他們怎麼知道那些帳戶裡面有錢,然後看起來,因為營業員都說看到是某個 app下單的,那應該是有能力買到或是拿到 舊的app程式碼的人。 --
1Fstocktonty: 複委託要先圈存 元大的複委託有漏洞就可以偵測到了 11/26 03:50
沒用過附委託,他的流程上是 針對某隻想要買的做圈存?還是其實像期貨一樣 裡面要有保證金,如果是圈存不就代表這件事情 更大條....
2Fstocktonty: 不然就是用自動程式去掃最大購買值確認金額也有可能11/26 03:51
3FJoeyChen: 而且那個人還知道舊app還可以下單11/26 03:53
理論上來說每版api或多或少都會更新 但是也有可能完全不更新,沒壞就都沿用 但是如果是api有更版,然後駭客還知道那就... 主要也是沒想到憑證會被勾走吧 只能說根本黑暗騎士 我這篇算有股點嗎?
4FJoeyChen: 就扣款帳戶裡要有等值現金 那張買單才能成立11/26 03:56
5Ftysh710320: 就是假如你下單100萬 帳戶內要先有100萬 否則會失敗11/26 03:56
6Ftysh710320: https://i.imgur.com/g5LV7jd 我被try好幾次11/26 03:56
那這樣跟保證金一樣 不知道有沒有附委託裡面帳戶沒有錢的也被踹 如果有可能整份附委託的客戶名單跟憑證他都有 如果只是有資金的被踹,那TMD的問題就更大了
7Frstpiopxo: 銀行跟證券是分開的 所以要先解決問題有2 。1.該帳 11/26 04:19
8Frstpiopxo: 戶有購買權限2.該帳戶有錢 11/26 04:19
9Frstpiopxo: 所以兩方面大概都包了 11/26 04:19
10Ftysh710320: 照理說有圈存是不能動的 可是我把交割戶的錢都轉走 11/26 04:21
11Fdickstar: 這很嚴重的資安問題,明天新聞沒報就扯了~~~ 11/26 04:21
12Ftysh710320: 了 而且可以轉 現在交割戶餘額是0 看後續怎發展 11/26 04:21
13Fcastjane: 仙股詐騙 11/26 04:47
14Fcastjane: 很多 11/26 04:48
15Fgn00167236: 樓上是不是沒搞懂在討論什麼 11/26 04:51
16Fcastjane: 原文 後段被惡意亂下單 11/26 04:52
17Favcds1111: 會不會元大有內鬼 11/26 05:04
18Fcastjane: 元大會報案吧 11/26 05:10
19Ftsaifrank: 這一定有內鬼配合吧? 11/26 05:37
20Flucifer666: 詐騙太慢了 直接搬 11/26 06:56
21Fpiranhacat: 不用知道帳戶有沒有錢啊,腳本寫好,全部帳戶都下 11/26 07:11
22Fpiranhacat: 單,沒錢就失敗而已,一個個去找有沒有錢也太浪費 11/26 07:11
23Fpiranhacat: 時間 11/26 07:11
24FpoisonB: 這沒有內部人才奇怪吧 11/26 07:11
25Fmaxmaster: 感覺有很大問題 這新聞是大事 11/26 07:13
26Fcentaurjr: 怎麼可能單獨詐騙,駭客直接進後台好嗎 11/26 07:19
27Fcentaurjr: 當駭客很閒喔 11/26 07:19
28Fcentaurjr: 分開沒錯,但是我不信你三家密碼會用不同的XD 11/26 07:20
29Fqscgg: 元大有內鬼的意思?幹.....各位塊陶啊 11/26 07:21
30Falouis: 元大中出了內鬼...? 11/26 07:24
31FMVPkobe: https://i.imgur.com/klEnTe6.jpg 11/26 07:28
32FMVPkobe: 一上任就被話掉 ? 11/26 07:29
33Fa5181036: 都7:30了 還沒新聞媒體報導…? 11/26 07:31
34Fwalyun: 一定公關在壓 11/26 07:32
35Favcds1111: 超大新聞竟然連一個毛都還沒看到 11/26 07:39
36Fgogobabydo: 請問這可以自己去警察局報警嗎? 11/26 07:41
37Fpttccbbs: 為什麼只有元大出事情? 最有可能的就是元大後台, 11/26 07:48
38Fpttccbbs: 有人有超級權限,直接下單,我不相信證券下單交易 11/26 07:48
39Fpttccbbs: 密碼,有那麼好破解,同時間多人被駭 11/26 07:48
40Fptta: 說不定真正目的是放空元大 11/26 07:52
41Fchien703: 重點是密碼或憑證到底怎麼流出的吧?如果只是釣魚 11/26 08:13
42Fchien703: 那還好,樹大招風被針對元大也沒什麼責任;如果是 11/26 08:13
43Fchien703: 被xss或api來回有漏洞能拿到機密資訊,就比較糟糕 11/26 08:13
44Fchien703: 。有沒有內鬼還不好說,要側錄加密的api應該是不需 11/26 08:13
45Fchien703: 要拿到原始碼的 11/26 08:13
46Fredbeanbread: 好可怕 好險我沒有 11/26 08:15
47Fwaiting0801: 這個真的扯耶... 11/26 08:19
48Fthbygn98: 密碼流出就不是買港股這麼簡單了? 11/26 08:21
49Fnigatsuki: 資安長一上任就出事? 11/26 08:23
50Fnigatsuki: 其實如果他能操作港股,理論上應該台股也可以 11/26 08:24
51Fthbygn98: 買台股那超恐怖誒== 11/26 08:25
52Frettoly: 買港股是攻擊者套現方便吧 == 11/26 08:35
53Fbitlife: 台股理論上比較不會被這樣搞,因為是T+1,下單到交割 11/26 08:38
54Fbitlife: 有時間差,除非券商沒有任何主動成交回報的管道(抱怨 11/26 08:38
55Fbitlife: 一下,某基證券就沒有email交割憑單),不然被駭客偷下 11/26 08:39
56Fbitlife: 單,當天傍晚前會收到通知,回報券商發現駭客後中止交 11/26 08:40
57Fbitlife: 割程序駭客就拿不到錢了. 反而圈存制且交易所在國外 11/26 08:41
58Fcentaurjr: 搞台股沒用阿....台灣好抓XD 11/26 08:41
59Fcentaurjr: 港股現在是三不管地帶.... 11/26 08:41
60Fbitlife: 錢被幹走去下單,一旦成交且交割後才發現,駭客可能錢 11/26 08:41
61Fbitlife: 都移轉走了 11/26 08:41
62Fftn7301: 出事了 11/26 08:42
63Fbitlife: 更正,T+2才對 11/26 08:42
64Fblizzaro: 八卦沒人爆掛? 11/26 08:45
65Froger1976: 綠營出包 八卦才會爆 11/26 08:49
66Fcastjane: 元大不可能沒責任因為 軟體問題 除非證明中國品牌手 11/26 08:50
67Fcastjane: 機 盜竊密碼 屬消費者過失 11/26 08:50
68Fstot404: 搞台股沒用吧,錢要T+2才會轉走,被盜的發現了就把 11/26 09:05
69Fstot404: 帳戶錢轉走就好了 11/26 09:05
70Fraslin: 最好笑的是 成交事實明確 用客戶的帳號 現在沒有新 11/26 09:10
71Fraslin: 聞報導 哈哈 11/26 09:10
72Fbitlife: 先看元大金有沒有發布重大訊息,記者不敢報就算了,但 11/26 09:23
73Fbitlife: 是這種應該要申報重大訊息 11/26 09:24
74FCastle88654: 新資安長才剛上任… 11/26 09:25
75Fbitlife: 目前元大金跌幅是高於金融類股,一定還有散戶股東不 11/26 09:25
76Fbitlife: 知道為什麼 11/26 09:25
77Fmystage: 你想捅元大的話,就向金管會檢舉就可以了。沒發重 11/26 09:30
78Fmystage: 訊處理上有問題 11/26 09:30
79FFreedomTrail: 這夠大條誒誰去申訴一下吧? 11/26 09:46
80Fppking: 元大投資先生app現沒辦法下載 11/26 09:54
81Fbrabra: 一起空元大金吧? 11/26 10:14
82Fs900527: 金管會跟元大之前原油正二不就表演給你看了 11/26 10:16
83Fs900527: 金管會只有空管月曆而已~~其他不關他的事情 11/26 10:16

Stock 最新熱門文章

18 [請益] 美股大跌先知
27 stock 2021-11-26 23:33
19 [請益] 美股放空
30 stock 2021-11-26 23:12
70 [請益] 元大今晚發的簡訊
132 stock 2021-11-26 22:17
66 [心得] 丸子~歐洲股市~
133 stock 2021-11-26 21:14
15 Re: [標的] 大盤
26 stock 2021-11-26 19:54
117 [標的] 大盤
159 stock 2021-11-26 18:08
32 [標的] 2610.TW 華航 宇宙空
58 stock 2021-11-26 17:40