[新聞] 系統爆「撞庫攻擊」 三竹:與之無關

看板 Stock
作者
時間
留言 133則留言,45人參與討論
推噓 44  ( 45推 1噓 87→ )
原文標題: 券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全 原文連結: https://www.ctwant.com/article/152883 發布時間:2021-11-26 18:14 原文內容: 國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞 庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控 股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節, 也因此暫停複委託電子下單。 三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董 事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並 無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統 完全無關。 元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入 侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由 三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大 證券尋求的合作廠商。 三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼? 一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因 此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾 常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。 由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「 行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真 正原因,還有待元大證調查了解。 目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登 錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式, 即是一次性單次有效密碼,補強下單交易防護力。 以下為三竹資訊聲明全文。 針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解, 本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服 務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。 經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶 密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證 券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及 統一證券表示已暫停複委託電子交易,改採人工下單。 對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯 。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。 心得/評論: 三竹連老闆邱老大都出面啦~~講的很詳細內~ 所以元大的賠償......??? 三竹:這鍋我不背! --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.126.97 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1637923326.A.CAF.html ※ 編輯: gisela514 (118.163.126.97 臺灣), 11/26/2021 18:42:36
1FcuteSquirrel: 最離譜的是憑證怎麼掉的 = = 11/26 18:43
2FAxelGod: 董事長總經理直接出面說了 與山竹無關 元大: 11/26 18:47
3Fmioz: 每秒幾千萬上下還要OTP 這下元大要崩了 11/26 18:48
4Fstlinman: 呵呵 ~ 安撫客戶說法 " 都是別人出包! " 11/26 18:48
5Fgint5566: 這個不出手 去管那個桌曆ZZ 11/26 18:49
6FBDrip: 憑證就用生日來取得的呀 生日都當密碼了 11/26 18:49
7Fneo5277: 跟我預測的一樣XDXDXDXDXDX 11/26 18:51
8Floveponpon: 三竹:欸這鍋我不要揹 你自己背 11/26 18:52
9Ftinlans: OTP 其實安卓手機已經有先例可以被駭客偷了。 11/26 18:54
10Ftinlans: 憑證機制其實也是台灣特產,外國只有 OTP。 11/26 18:54
11Ftctv2002: 乾脆下單 多做一個指紋認證算了xd 11/26 18:56
12Ftinlans: 不可能是撞庫,一般撞庫用的帳密清單是自己取的 ID 11/26 18:56
13Ftinlans: 上面講的密碼用身份證字號比較有可能,要問一下 11/26 18:57
14Ftinlans: 受害人是不是都這樣設密碼。 11/26 18:57
15Fneo5277: xss 很久以後 針對性吧早上怕被告我把文都刪了XD 11/26 18:58
16FBDrip: 你提醒文都刪了 我就去備份站看了 這樣會不會被告( 11/26 19:00
17Fneo5277: 還有備份喔?我來找找 11/26 19:01
18Fneo5277: 靠真的有 但是我覺得應該89不離十 11/26 19:04
19Ftinlans: xss 也要證券商有 web API 給你跨站導過去吧 11/26 19:05
20Ftinlans: 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行 11/26 19:05
21Fwyytw: 甩鍋 11/26 19:05
22Fapple123773: 結果元大開大 說這些人的密碼都是.....XD 11/26 19:07
23Ftinlans: 不過說真的如果是拿戶政外洩資料的身份證字號和生日 11/26 19:07
24Ftinlans: 去撞庫的,那絕對不可能只有這兩家出事。 11/26 19:07
25Fneo5277: 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的 11/26 19:07
26Fneo5277: 然後配上有人說下單營業員看到適用行動精靈 11/26 19:08
27FMazu323: 的確如果只是單純的帳密~不該只有這兩家有問題 11/26 19:09
28Flolic: 全推給民眾最簡單囉 11/26 19:09
29Fjerrylin: 所以就是被駭客駭了 解釋一堆幹嘛 11/26 19:10
30Ftinlans: 帳密被盜這件事幾乎是肯定的,只是如新聞標題說的是 11/26 19:10
31Ftinlans: 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID 11/26 19:10
32Ftinlans: 很難關聯到你的身份證字號。 11/26 19:11
33Ftinlans: 基本上應該至少有兩個問題存在:1. 人為流出個資 11/26 19:12
34Ftinlans: 2. 後端盲信自己接收到的輸入全部合法。 11/26 19:12
35Fhhhomerun: 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你 11/26 19:13
36Fhhhomerun: 登入進去 想要你輸入生日也很簡單好嗎 11/26 19:13
37Fhhhomerun: 都到手以後 再用行動裝置去登入和裝憑證 就下單了 11/26 19:14
38Ftinlans: 不管是釣魚還是撞庫,都無法解釋只有這兩家出事啊 11/26 19:14
39Fapolloapollo: 猛撞攻擊 11/26 19:15
40Fhhhomerun: 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的 11/26 19:16
41Fhhhomerun: 帳密去登看起來像元大的網站? 不會啊 11/26 19:16
42Ftinlans: 合理 11/26 19:17
43Fhhhomerun: 還是你覺得詐騙集團就是要認真為台灣50家券商都做一 11/26 19:17
44Fsetsunaxia: 唬爛的,明明就資料外洩 11/26 19:17
45Fhhhomerun: 個網站 顯然不會 要做就挑大的做就好 11/26 19:17
46Fkoibido: 是不是vip戶直接連到後台結果被駭 11/26 19:19
47Ftinlans: 確實這樣是可能的,而且問受害當事人一般也很難記住 11/26 19:19
48Fhhhomerun: 而且 這根本到國安層級了 券商和廠商再吵也沒意義 11/26 19:19
49Ftinlans: 自己有沒有開過這種網站。但既然搜尋引擎上看不到, 11/26 19:19
50Ftinlans: 那透過簡訊或電子郵件提供網址的可能性就很高, 11/26 19:20
51Fhhhomerun: 我猜 以後大家手機登入下單系統 可能都要先打OTP才 11/26 19:20
52Fhhhomerun: 能下單了 11/26 19:20
53Ftinlans: 事後也容易跟受害人收集到共通點。 11/26 19:21
54FBDrip: 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些 11/26 19:21
55FBDrip: 單 幹嘛再增加成本( 11/26 19:21
56Ftinlans: 憑證確實是一個很奇怪的東西,外國都是 OTP 而已。 11/26 19:23
57Ftinlans: 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度 11/26 19:24
58Fnow99: 綁定手機裝置,FIDO驗證就可以了 11/26 19:24
59Fpastrolia: 與之無關…?文言文嗎? 11/26 19:28
60Fschula: 下單都要OTP太麻煩了吧,明明是元大自己安全性問題 11/26 19:36
61FCastle88654: 元大週刊王踹共 11/26 19:39
62Fshadow0326: 看不懂在寫什麼 11/26 19:50
63Fzxxz67: 元大是不是金主阿 直接無視不查 11/26 19:51
64Fs860134: 手機下單憑證可以登入後申請 其實沒啥用 11/26 19:52
65Fs860134: 憑證是在證明你是這個人,但是你只要帳密就能登入 11/26 19:53
66Fs860134: 幹嘛還多一個憑證申請XD 11/26 19:53
67Fpippen2002: 踢皮球大賽囉,鬼島鬼股投資人真可憐?! 11/26 19:53
68FBDrip: 誰叫憑證申請那麼簡單( 11/26 19:54
69Fs860134: 簡單來說只要有帳密,就能下單了拉 生日都不用 11/26 19:54
70Fs860134: 我用過五家券商(第一凱基永豐鑫豐日盛)手機都是三竹 11/26 19:56
71Fs860134: 憑證都是你登入後就能申請了 11/26 19:57
72Fs860134: 所以我一直搞不懂下單要憑證幹嘛?完全沒更安全 11/26 19:57
73Foverhead: 我之前就覺得登入後申請憑證邏輯很怪的,還以為是 11/26 20:01
74Foverhead: 自己不懂資安,結果是真的很怪啊 11/26 20:01
75Fbitlife: 憑證的用途是用來做為[不可否認],以前有陣子我印象 11/26 20:01
76Fbitlife: 是要先臨櫃申請PC的,然後下載手機的必須透過PC啟動 11/26 20:02
77Fbitlife: 傳到手機這個動作,等於是PC替手機做背書,可能後來很 11/26 20:02
78Fbitlife: 多年輕人只用手機,而且都線上申辦不臨櫃,才放寬了這 11/26 20:02
79Fbitlife: 個限制,但又沒加上簡訊綁定成功才能下載之類的防範 11/26 20:03
80Fbitlife: 措施,於是就變成前面推文說的奇怪現象 11/26 20:03
81Fjerrylin: 還好我只用券商軟體下單不用手機下單 11/26 20:04
82Fbrella: 誇張 11/26 20:04
83Fjerrylin: 這樣有事一定是券商要賠我錢 11/26 20:04
84FKobe5210: 還好我老古板,習慣用電腦網頁下單... 11/26 20:09
85Foverhead: 但電腦一樣有被駭的機率吧xd 11/26 20:10
86Fshyshyan: 問題是不是有帳號密碼就能下單 還要有憑證 他怎麼 11/26 20:12
87Fshyshyan: 弄到憑證?或者他不用憑證就能下單? 11/26 20:12
88Fhoneypeanut: 金管會:沒事兒沒事兒 11/26 20:13
89Fshyshyan: 而且帳號都是身分證 是有多少網站用身分證當帳號== 11/26 20:13
90Fdiogofseixas: 券商的憑證是笑話啊,輸入生日即可取得 11/26 20:14
91Fs860134: 手機憑證可以登入後申請: 所以我只需要帳密阿XD 11/26 20:15
92Fs860134: 輸入生日還多一層保護咧 11/26 20:16
93Fshyshyan: 一堆人被盜帳號在差不多時間買仙股 最好是帳號被盜 11/26 20:16
94Fshyshyan: 那麼簡單啦== 11/26 20:16
95Fshyshyan: 怎麼想都是你系統被駭 被掃出一堆帳號下單好嗎 11/26 20:17
96Fs860134: 很多人是因為沒開複委託所以不知道已經外洩了八.. 11/26 20:22
97Fs860134: 這次都是有開複委託 11/26 20:22
98Fs860134: 下次直接搞有開期貨的,弄出下一個 0206 慘案XD 11/26 20:23
99Fbitlife: 期貨比較沒那麼容易,因為保證金要自己主動匯款進去 11/26 20:25
100Fbitlife: 保證金帳戶,不像股票圈存是下單時自動被圈 11/26 20:26
101Flinkmusic: 這下糗了憑証也不甘三竹的事 11/26 20:54
102Flinkmusic: 憑証是委外哪家作的為啥元大不公布? 11/26 20:56
103Fnacy204327: 該不會是ㄍㄨㄢ…… 11/26 21:00
104FWhitePope: 憑證並非沒用,而是用來防止側錄和偽裝攻擊。如果沒 11/26 21:04
105FWhitePope: 有憑證,駭客就可以側錄網路流量,錄下你的交易資訊 11/26 21:04
106FWhitePope: 破解後,再做一個和交易app一樣的假app, 偽裝成你去 11/26 21:04
107FWhitePope: 下單 11/26 21:04
108FWhitePope: 注意這個差別是,app 和券商部份完全沒漏洞和過失。 11/26 21:05
109FWhitePope: 駭客就可以只靠側錄完成入侵交易。這就是憑證的重要 11/26 21:05
110FWhitePope: 性 11/26 21:05
111FWhitePope: 說憑證沒用就像你家被小偷破窗偷入,你說:大門真沒 11/26 21:07
112FWhitePope: 用,小偷從窗戶就可以進來了,不如把大門拆下來好了 11/26 21:07
113FWhitePope: 其實重點在為什麼憑證那麼好取得吧?這就像你家裝了 11/26 21:11
114FWhitePope: 無敵防盜門窗,但你卻把大門鑰匙放在門旁的花盆底下 11/26 21:11
115FWhitePope: 增加憑證的取得認證才是應該要做的事。例如要去券 11/26 21:16
116FWhitePope: 商登記手機,取得憑證時要經過OTP認證。 11/26 21:16
117Ftctv2002: 我覺得下載憑證 可以多一道視訊認證 11/26 21:28
118Ftctv2002: 類似網銀視訊開卡 亮身分證之類的 11/26 21:29
119Fstot404: 我密碼跟身分證還有生日完全無關,可以說是一串亂碼 11/26 22:55
120Fstot404: 喔0.0) 11/26 22:55
121FArpia: 看山竹這重訊,應該就不關app的事 11/26 23:34
122FArpia: 出包的券商只一直說app帳密問題,好像完全避談它發 11/26 23:34
123FArpia: 的“憑證” 11/26 23:34
124Fericsg: 台灣證券的憑證就只有一家做最多啦 11/26 23:52
125FAssyla: 看完這則新聞,一直懷疑其實統一是被亂拉出來的 11/27 00:17
126FAssyla: 不然只有元大有問題了,就很難推給三竹 11/27 00:17
127Fvyvian: 就全部改用自然人憑證吧 每次交易都要插卡最安全 11/27 01:53
128Fllw116: 憑證只是對下單內容做加密,後台再驗證簽文與下單 11/27 03:16
129Fllw116: 內容是否符合,單純撈到憑證不一定有用,還要看簽 11/27 03:16
130Fllw116: 文的格式,可能要看簽文的格式是否外洩。 11/27 03:16
131Fntg123: 哈!懂的人就知道問題出在誰了 11/27 05:42
132Fneil25: 一直在討論用戶端 有人沒開複委託沒開外幣帳戶 一 11/27 09:37
133Fneil25: 樣被下單 感覺是直接入侵資料庫下單的 11/27 09:37

Stock 最新熱門文章

32 [標的] NIO-US NIO Power
68 stock 2021-11-27 14:51
26 [標的] DAL 達美航空 多
39 stock 2021-11-27 04:32
42 [心得] 元宇宙的看法應用
151 stock 2021-11-27 00:58