作者inthepeace (peace)
看板Bank_Service
标题[问题] 麻布使用海外IP登入网银?
时间Fri Dec 3 09:17:56 2021
今天早上发现我的中信 玉山 永丰 联邦被登入网页版银行,其中玉山显示非台湾IP异常登
入,吓得我马上改密码。
後来想一下,这几个帐户之前有拿来试用看看麻布记帐,登入一看果然如此
我觉得有疑虑的点是,为何会使用海外IP登入?总觉得这样风险太高了吧
还有我以为在我登入按同步才会登入我的网银查询,结果居然会自动同步,如果忘了这件事
,很容易让人以为是被盗… 像我今天这样
所以记帐还是自己勤奋点就好… 以防真的被盗,还以为是麻布正常登入,错失救帐号的黄
金时间
目前已全部改密码,并且删除App,提供各位参考
今日玉山异常登入
https://i.imgur.com/oQKm70j.png
永丰 联邦 中信也有登入通知
https://i.imgur.com/lZDbUIF.png
https://i.imgur.com/DL3rd5F.png
https://i.imgur.com/846G04x.png
查询麻布,确实是麻布登的(已改密码,所以登入失败)
https://i.imgur.com/bDuImRC.png
-----阅读完以下发文提示,可删除此行及以下内容---------
薪转户、银行免手续费次数等,请直接问公司会计/分行经办 问者直接删文
依板规10,发文请至少三行满50字,违者删文累犯水桶一个月。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.82.217.86 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1638494278.A.881.html
1F:→ temu2015: 你没有买自动同步吗 12/03 09:21
2F:→ GGMouseKing: 因为伺服器用GCP吧 12/03 09:22
4F:→ temu2015: 步一次,不知您是否曾经设定该功能?麻布登入纪录可以到 12/03 09:24
5F:→ temu2015: 通知区比对麻布的登入时间。 12/03 09:24
7F:→ kkkk1234: 现在每周免费一次自动同步 12/03 09:26
10F:→ inthepeace: 自动同步要买喔?!这我就不太知道了,因为我试用完之 12/03 09:27
11F:→ inthepeace: 後,没办法完整覆盖我全部的银行跟投资,还不如我自己 12/03 09:27
12F:→ inthepeace: 记。所以後来就没继续研究了 12/03 09:27
13F:→ temu2015: 目前连保险加密货币TD都有了 12/03 09:28
14F:→ temu2015: 你这样只是删APP而已,下周如果自动同步你会收到一堆登 12/03 09:55
15F:→ temu2015: 入错误的通知。应该要移除帐号退出会员。 12/03 09:55
16F:→ inthepeace: 感谢回覆,我目前已经将自动同步关闭,并且删除帐号了 12/03 10:00
17F:推 abccbaandy: 在意风险还用麻布... 12/03 11:04
18F:推 shangclock: 每天固定时间自动更新,然後每天去Mail删警告信,最主 12/03 11:23
19F:→ shangclock: 要的帐户没绑,其他有信用卡跟贷款的都绑,觉得不错痾 12/03 11:23
20F:→ shangclock: 自己记得特定时段会有几封警告信就好 12/03 11:24
21F:推 gottsuan: 自愿把帐号密码给第三方程式代理登入网银的会在意风险? 12/03 11:45
22F:推 now99: 有合规open bank不合作,还继续爬虫 12/03 11:53
23F:嘘 tornado1621: 脱裤子放屁 笑死 12/03 11:58
24F:嘘 BNYMellon: 要打网银帐密然後还要花钱,这种App我才不用 12/03 12:05
25F:→ temu2015: 目前只有TD是授权同步 其他还是代理 然後不一定要付费 12/03 12:22
26F:推 p1234891: 麻布我自己也有在用 金管会有监管 应该是不用怕 但会有 12/03 15:12
27F:→ p1234891: 疑虑的还是不要用好了 12/03 15:12
28F:推 HMKRL: 就是GCP开在海外而已 这样伺服器比较便宜 12/03 16:57
29F:推 shangclock: 其实是不用花钱也能自动更新,只是不想它倒才付费 12/03 17:05
30F:推 Lomonosov: 那些ip你去查全部都是GCP的啦 12/03 17:17
31F:→ Lomonosov: 这app现阶段就是给有能力自己评估风险的人用的 12/03 17:18
32F:→ Lomonosov: 我是绑银行 不绑证券 供参考 12/03 17:26
33F:嘘 Noobungas: app需要更新的地方还很多 12/03 20:43
34F:嘘 Noobungas: 帐户互转钱就不会分类,真笨 12/03 20:47
35F:推 now99: 没法规时候去爬虫还说的过,有法规了还爬虫?挑战安控基准? 12/03 21:10
36F:→ temu2015: 要是麻布有什麽重大违法缺失早就被钉到死了 哪能活到现 12/03 21:29
37F:→ temu2015: 在 12/03 21:29
38F:→ prussian: 哪个安控基准有限制这个? 12/03 21:38
39F:→ tomap41017: 银行API真的能用?呵 12/04 00:18
40F:推 BNYMellon: 安全?要输入的密码都不安全好吗。而且资料放在国外, 12/04 00:20
41F:→ BNYMellon: 是要叫人怎麽安心? 12/04 00:20
42F:→ BNYMellon: 金管会有规定喔,本土落地的金融机构,用户资料必须放 12/04 00:23
43F:→ BNYMellon: 在国内,ㄤ 12/04 00:23
44F:推 dryob: GCP有台湾机房啊 只是有时候IP会被判定成美国 12/04 01:52
45F:推 shaoleo: 放心吧,没出事以前都是安全的... 12/04 02:38
46F:→ temu2015: 人家资料放在彰滨资料中心啊…… 12/04 08:57
47F:→ temu2015: 看一下kkkk1234附的连结 12/04 08:58
48F:→ sggs: 你以为网银密码权限很大吗xd反正怕就不要用 12/04 09:12
49F:嘘 dip987: 删掉最好,不懂就别碰 12/04 09:47
50F:→ Ted11: 目前为止,我是觉得蛮方便的,持续使用中。 12/04 12:35
51F:→ tino9808: 大惊小怪 12/04 15:38
52F:→ Beah: 网银帐密给外人知道也只能转约转是会怎样? 12/05 00:40
53F:推 BNYMellon: 很多银行只要密码就可以换汇、买基金、绑ApplePay 12/05 01:31
54F:推 whocare96: 楼上绑Apple pay 都还要卡号跟otp 认证吧 12/05 02:08
55F:→ BNYMellon: 楼上,直接从网银内绑ApplePay不需要卡号和OTP。 12/05 05:55
56F:→ temu2015: 请问电脑网页版网银可以绑AP吗 12/05 06:24
57F:推 whocare96: 想请问楼上上是哪间网银,我用过玉山app加apple pay, 12/05 08:52
58F:→ whocare96: 不用卡号但一定要otp ,金管会对重要交易都会要求两项 12/05 08:52
59F:→ whocare96: 以上安控,不太可能只靠认证密码就做完绑定交易 12/05 08:52
60F:→ temu2015: 麻布爬的是网页版,网页版做不到的事情麻布都做不到。 12/05 09:34
61F:推 Lomonosov: @now99 可以给一下是哪一部法在规范这些东西吗? 12/05 11:19
62F:→ BNYMellon: 国泰不用OTP可以直接绑ApplePay 12/05 12:32
63F:→ BNYMellon: 联邦甚至只要密码就能知道虚拟卡的所有资讯 12/05 12:32
64F:推 whocare96: 刚刚试了国泰的,进入app要先绑fido 认证,要验证手机 12/05 12:41
65F:→ whocare96: 号码,只有网银帐号密码无法达成直接绑定Apple pay 12/05 12:41
66F:→ whocare96: L大,法规是电子银行安控基准 12/05 12:47
67F:→ pippen2002: 所以到底是甚麽?? 乱七八糟? 12/05 13:43
68F:→ temu2015: 楼上到底要问什麽? 12/05 13:44
69F:→ go1717: 死都不用类似的东西 很明显有资安问题 差在会不会爆而已 12/05 14:17
70F:→ brandon0610: 大惊小怪 麻布的资安标准很高阿 12/05 15:56
71F:→ go1717: 我的资安标准更高^^ 有外泄风险即使以前没出过包 也一律 12/05 16:24
72F:→ go1717: 不使用 12/05 16:24
73F:→ temu2015: 有什麽东西是零风险的吗?或大或小吧 12/05 16:26
74F:→ whocare96: 麻布通过的资安检测是L2等级的,与 12/05 16:51
75F:→ whocare96: 目前多数银行通过的等级相同,所以 12/05 16:51
76F:→ whocare96: 如果要避免风险,楼上上应该也要停 12/05 16:51
77F:→ whocare96: 止使用所有银行的app 吧 12/05 16:51
78F:→ assa4451: 温馨提醒,麻布不是金管会的管辖…..出事不要找金管会 12/05 17:07
79F:→ assa4451: 喔!因为帐密是使用者自愿给的!也不要期待银行负责, 12/05 17:07
80F:→ assa4451: 因为国内银行目前没有一家银行有跟麻布合作~自己资料 12/05 17:07
81F:→ assa4451: 自己负责 12/05 17:07
82F:→ temu2015: 说没有合作就过头了,只是没有合作帐务API而已 12/05 17:13
83F:→ go1717: 我的使用者代号跟密码 是使用最高等级:全部不一样 没有 12/05 19:17
84F:→ go1717: 规则可言 光是帐号.代号.密码都不同 就可以规避很多风险 12/05 19:17
85F:→ go1717: 你先注意你的帐密 有没有重复使用吧^^ 12/05 19:17
86F:推 CJhang: 麻布需要给金管会查吗? 12/05 19:48
87F:→ assa4451: 它不是金融机构,没有像银行一样每年定期查 12/05 22:34
88F:→ yoyo930021: IP 理论上不能知道在哪里 12/06 00:36
89F:→ yoyo930021: 只是有资料库去纪录大概分去那个区域 12/06 00:36
90F:→ yoyo930021: GCP 台湾的 IP 也经常被某些资料库分到美国去 12/06 00:36
91F:→ yoyo930021: 才被当海外 12/06 00:36
92F:→ Lomonosov: 感谢提供~ 12/06 09:36
93F:推 Or3: 不然有合作甚麽? 12/06 10:42
95F:→ temu2015: ISO27001好像每年要查 三年要重审,APP L2的部分有没有 12/06 11:06
96F:→ temu2015: 期限我不清楚。 12/06 11:06
97F:推 sana113821: 我OK 你先删 12/06 17:19
98F:推 Kazamatsuri: 反正怕的就不要用就好啦~ 科科 12/06 19:49
99F:→ go1717: 资安观念首重:分散风险 而不是L2等级好棒棒世界无敌强 12/07 11:10
100F:→ go1717: 这是哪门子的资安观念?即使安全等级再高 我都不会视为零 12/07 11:10
101F:→ go1717: 风险 帐号密码都不一样的分散风险 你办到了吗? 12/07 11:10
102F:→ go1717: 在不知道对方帐号的前提下 你必须承认帐号也是另一道密码 12/07 11:15
103F:→ assa4451: 我同意楼上,帐密的提供与否 以及密码不要用相同的,都 12/07 13:07
104F:→ assa4451: 是在分散风险。提供所有帐密在同一个机构我认为是集中 12/07 13:07
105F:→ assa4451: 风险,不过老话,自己的资料要自己保护 12/07 13:07
106F:→ go1717: 补充 银行app是自己本身提供的登入方式 而这类app是过一 12/11 22:33
107F:→ go1717: 手登入 「过一手登入」本身就有资安问题 给心脏大或是麻 12/11 22:33
108F:→ go1717: 木的人去用就好 以後会不会爆只有天知道 12/11 22:33