作者billy40215 (taco)
看板Bank_Service
标题[问题] 国泰华江分行的疑问
时间Sun Apr 9 20:27:02 2017
大家不知道记得去年12月我抱怨的一篇国泰华江分行的文章(可搜寻复习一下),我今天
太无聊突然想到一个自己觉得很恐怖的状况。
当时分行行员确实说了一句:「让我用我的手机先拍你的身分证,嗣後再传输到电脑里做
验证。」这一句我现在想起来有点毛骨悚然。
为什麽呢?因为正常而言,银行内的电脑跟国军的电脑一样,会管控所谓的USB存取,资
料的来源及交换,都应该由内部网路,那麽如果依该行员说的,先用手机拍再嗣後传输到
电脑有两个以下可能的情况
1、使用USB传输,那麽如果可以透过USB从手机输出资料到电脑中,是否可以反向操作的
从电脑输出资料到手机中带走?
2、使用私人电子信件寄到公司统一的信箱中再由电脑下载。那麽问题出现了,首先众所
周知除了苹果手机外,一般安卓手机多多少少都有一些些严重或无关紧要的病毒,然而再
透过私人邮件的寄送,是否资料被盗取的机率加倍提升?
然而看该行员如此不以为然的提议,是否说明她「可能不是第一次」有这种行为?那麽她
的手机、电子邮件中究竟储存了多少人的证件照片?而此行为我相信如果是一个菜鸟是不
会这样擅自提出这种注意,那又是谁教的呢?
再拿李宗瑞的案子举例,他虽将资料删除才将电脑送修,却被不肖业者以特殊软体拉回资
料後作为不法之用途,那麽回过头来看这件事,如果今天行员手机送修,纵使资料清空的
状态下,有没有可能遇到不肖业者同样的行为呢?
银行首重资安,我致电询问过国泰客服,国泰客服表示「在客服中心是完全无法连外网以
及USB连结也是有管控的,但分行电脑确实可以连外网,实际设定如果无法确定。」那麽
客服中心的限制,为何到了第一线...却出现了可能的资安漏洞?
我记得华南的第一线的电脑也没有可以连上外网的能力(除了特定几台提供给客户使用的
电脑),以及对於资料存取及交换,也都是透过内部网路的信件,USB孔更是封死的。
故,如此这般,也许会有人说我杞人忧天,但又一句话说「不怕一万,只怕万一」,可能
今天我是贩夫走卒,我的个资不值钱,但如果这个资安漏洞为真实存在,那麽在骇客猖獗
技术纯熟的现在,会有多少人的个资而因此泄漏?而黑市中交易的个人资料,究竟被卖向
何处,不得而知,就拿我十几年前已没在使用的某个yahoo帐号来说,近几年yahoo已经不
知道发了几封信给我,告诉我有人尝试从我从没登入过的位置登入,已被系统阻挡,位置
从一开始的台湾、中国、俄罗斯,接着到东南亚,最远到欧洲。如此在这一点点资讯对於
骇客都值钱的现在,身为银行一个个资大资料库,自然成为觊觎的对象,无所不用其极的
能拿到多少资料是多少,那麽银行除了加强系统的安全外,对於人员的资安教育...是否
更应该加强?系统再强也挡不住人为。
我甚至遇过有公司规定,上班不能带手机,请把公司电话留给亲朋好友,上班期间有如何
事情找你请拨打到公司找人,理由是杜绝用手机翻拍客户资料携出的可能。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.214.130.209
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1491740825.A.D22.html
1F:嘘 aq2272353712: 嗯嗯,期待你出推理小说 04/09 20:48
2F:嘘 loomissayles: 建议原po不要再上网 因此时此刻你个资已开始外泄...04/09 20:55
3F:→ CaraQ: 被害妄想症?地球是很危险滴XD 04/09 20:56
4F:嘘 magickevin: 哪间银行规定不能带手机= =,不同行业也能比,会怕就 04/09 20:58
5F:→ magickevin: 别去这些危险的银行,去山上挖个洞躲着吧04/09 20:58
6F:→ qxxrbull: 之前某位交大资工的硕士有提到手机有後门 04/09 21:14
7F:→ qxxrbull: 可能带有EMD分析的录音 04/09 21:15
8F:→ qxxrbull: 因为EMD可以将音讯频带整理成非常精细,将各个不同时间 04/09 21:15
9F:→ qxxrbull: 频带分析出来,变成不同时间 04/09 21:15
10F:→ qxxrbull: 频率组成分!! 04/09 21:15
11F:→ qxxrbull: 很小声甚至有杂音的讯号在分析後,都可以听得很清楚,而 04/09 21:15
12F:→ qxxrbull: 且还可以搭配Fuzzy Logic 04/09 21:15
13F:→ qxxrbull: 自动分析再上传到云端,成为某些搜寻软体或推荐软体的依 04/09 21:15
14F:→ qxxrbull: 据! 04/09 21:15
15F:→ qxxrbull: 文章里面提到HTC M9、APPLE的手机都可能有後门 04/09 21:15
16F:嘘 sweetdoll: 无聊透顶....04/09 21:23
17F:嘘 sp063439: 你的资料值得骇客花那些成本吗? 04/09 21:38
18F:→ billy40215: 可能很多人没看懂重点。04/09 23:01
19F:→ billy40215: 我想不只是我的资料吧。既然大家对资安如此薄弱的意04/09 23:04
20F:→ billy40215: 识,那也随便,我只是提出看法。送楼上几位一句曾有人04/09 23:04
21F:→ billy40215: 说过的:「今天你看似一文不值的情报,不代表明天他一04/09 23:04
22F:→ billy40215: 样一文不值。」 04/09 23:04
23F:→ billy40215: 而且个资藉由银行漏洞被窃取的新闻,我记得也不少喔。 04/09 23:06
24F:→ billy40215: 甚或是银行部分内部人员私自外流。04/09 23:06
为什麽那麽多人可以对企业那麽宽容?甚或希望企业对自己宽容?
资安意识如此之薄弱?对企业,就表示这点个资不值钱,何必苛责?但反过头批评企业将
资料提供给广告商骚扰。
对自己,则认为反正这一点点企业资料没什麽,拿出去给人看没什麽。
但,曾有人说过:「今天不值钱的情报,不代表下一个十分钟,他还是一文不值。」
如果大家再如此宽容的看待资安问题,那麽就别再抱怨,甚或哪天被一通电话打来骗走毕
身积蓄时吵着要跳楼,我不会拦阻你的。请自便。
不要怪我冷血,是你的忽视,让自己走上绝路。
※ 编辑: billy40215 (49.214.130.209), 04/09/2017 23:29:32
※ 编辑: billy40215 (49.214.130.209), 04/09/2017 23:40:50
25F:推 zazazas: 现在银行拉信用卡业务还不是手机拍照line传一传 04/09 23:46
26F:推 zazazas: 还好你没有用yahoo之前几亿笔资料被骇客拿到,挡下有人要 04/09 23:49
27F:→ zazazas: 入侵你的信箱却没挡到那些骇客 04/09 23:49
28F:→ billy40215: 是啊,line的资料库都不知道被入侵几次了,多少东西被 04/09 23:50
29F:→ billy40215: 拿走了?不然line为什麽要改版,把每个聊天室都上锁? 04/09 23:50
30F:→ billy40215: 那些资料被拿去哪里使用利用了?不要怪诈骗集团心狠 04/09 23:50
31F:→ billy40215: 手辣,是因为你的忽视,成就了他们。身边就有朋友因 04/09 23:50
32F:→ billy40215: 为个资外泄被骗走了十年的积蓄。 04/09 23:50
33F:嘘 OverRaven: 别用网路、手机 真有心还在你面前弄? 04/10 01:08
34F:推 Zickler: 之前某间公股银行发生弊案後 的确规定上班时间禁用手机 04/10 01:56
35F:→ Zickler: 而且这是在分行办理业务 不是在外站的推卡 04/10 02:13
36F:→ Zickler: 以金融业的内稽内控角度 实在没有必要用私人手机拍摄 04/10 02:14
37F:→ tisuroko: 华南给客户使用的电脑不能连外网 04/10 03:58
38F:→ c3d: 可以的话,找金管会问看看 04/10 05:53
39F:→ CaraQ: 楼主会做问卷调查吗?参加某某抽奖吗?这不都是会留个资… 04/10 06:24
40F:→ CaraQ: …,照你的逻辑网路什麽会员都不要注册,就算你都给假资料 04/10 06:24
41F:→ CaraQ: 好了,你手机门号,应徵面试资料也都会被不肖员工拿去卖, 04/10 06:24
42F:→ CaraQ: 这些都不担心,你去担心银行? 04/10 06:24
43F:→ billy40215: 所以楼上的意见是:「反正个资都被卖光了,何必跟银 04/10 06:40
44F:→ billy40215: 行计较?」 04/10 06:40
45F:→ c3d: 之前面试没过,到底有没有删除掉也不知道 04/10 06:42
46F:→ CaraQ: 小心谨慎没有错!但是过度的钻牛角尖只是自己吓自己,建议你 04/10 07:17
47F:→ CaraQ: 打反诈骗电话问看看,身份证照片被流出去会怎样XD 04/10 07:17
48F:→ billy40215: 唉~楼上以儿戏在看待,那我这篇文章对你而言没有任 04/10 07:25
49F:→ billy40215: 何价值,你又何必拚命的反驳期望他人与你一样以儿戏 04/10 07:25
50F:→ billy40215: 看待? 04/10 07:25
51F:→ billy40215: 再者,以另一个简单易懂的角度而言,你的任何资料,你 04/10 07:29
52F:→ billy40215: 有权选择提供给谁,有权选择提供他之後他如何利用, 04/10 07:29
53F:→ billy40215: 但取得你的资料者若未善尽保管之责,让「你不想提供 04/10 07:29
54F:→ billy40215: 的第三者」取得资料,以藉此利用。 04/10 07:29
55F:→ CaraQ: 恩! 当我没说吧 你继续慢慢烦恼好了…… 04/10 07:30
56F:→ hgtt: 建议把网路都关闭别用~会有骇客入侵盗用个资的可能!! 04/10 07:36
57F:推 jasonjaynet: 其实 我也认为 你连去银行开户应该都不要 04/10 07:57
58F:→ billy40215: 好吧,对於个资没任何安全意识的人...就可以略过这篇 04/10 08:04
59F:→ billy40215: 了,银行会很希望你们这些人越多越好的。 04/10 08:04
60F:→ billy40215: 我也期望你们能一直对资安有那麽无所谓的意识。这从另 04/10 08:09
61F:→ billy40215: 一个角度而言,是一件好事。 04/10 08:09
62F:→ hgtt: 守法是对的,注意个资安全也是对的~太过over就不太好了! 04/10 08:13
63F:→ hgtt: 明朝律法最严酷~但是贪官也是最多的 04/10 08:16
64F:→ billy40215: 楼上说的是对的,所以我这篇抛出来的用意也是出来讨 04/10 08:24
65F:→ billy40215: 论资安的问题,不过没想到有那麽多人对於资安的问题是 04/10 08:24
66F:→ billy40215: 一点意见都没有,甚至认为「反正个资不值多少钱,没差 04/10 08:24
67F:→ billy40215: 」这才是最恐怖的事情。 04/10 08:24
68F:→ hgtt: 原po一连串文章~给我的感觉是很多事情都有更好的处理方式 04/10 08:29
69F:推 skydance: 认真回:银行控管usb是只能出(从usb到电脑),不能进( 04/10 08:40
70F:→ skydance: 从电脑到USB) 04/10 08:40
71F:→ skydance: 电脑都会有防毒软体,所以这两点上您确实是有点多虑 04/10 08:41
72F:→ billy40215: 回h大,不否认每个人在处理事情及那个当下的反应都会 04/10 08:45
73F:→ billy40215: 不一样,故我的方式一定不会是最好的。 04/10 08:45
74F:→ billy40215: 回sky大,纯粹当时行员的行为与言论,在不清楚银行运 04/10 08:46
75F:→ billy40215: 作的方式下,自然会有如此的疑虑。 04/10 08:46
76F:推 ROTFL: 歹丸的做法虽然方便,但很容易就变成随便,的确不够严谨 04/10 11:17
77F:推 Zickler: 如果是在银行端的电脑 通常还有装置控管 信件都会备份 04/10 22:22
78F:→ Zickler: 有些机构甚至只要把手机插上电脑充电 就会发出警报了 04/10 22:22
79F:→ Zickler: 比较有风险的 是从手机流出去的部分 04/10 22:27
80F:→ O12: 你有听过云端上传吗 04/10 22:42
81F:→ billy40215: 那麽是谁的云端呢?从私人手机到云端的途中呢? 04/10 23:34
82F:推 c3d: 你 04/11 06:42
83F:→ c3d: 的云端 04/11 06:43
84F:嘘 bullbe36: 你快回古代,现实生活太可怕了 04/11 06:52
85F:→ billy40215: 呵呵,国泰总行的说词跟各位说的状况都不一样呢,果然 04/11 07:00
86F:→ billy40215: 是一群乡民。 04/11 07:00
87F:→ c3d: 不是叫你去找金管会吗? 04/11 08:02
88F:→ billy40215: 不跟你一般见识。 04/11 08:39
89F:→ hsinyuan0104: 害怕个资外泄,请每年换身分证 04/11 13:03
90F:推 lawrence311: 记得检举一下FB,Apple 04/12 23:38