作者CloudJ ()
看板Bank_Service
标题Re: [讨论] 将来银行网银转帐出包
时间Fri Jul 1 12:59:46 2022
昨天将来的某个自称副理还是谁的打给我,讨论这个问题的相关可能性,刚好我也
有一点点资讯底,大概跟他询问一下,他说他从後台来看,整个动作确实都是做了
两次,所以对系统来说,他就是两笔成功的转帐无误。
但我提出的质疑是,如果前端APP这边有误,送出了两笔request,是否在系统上
看起来就会呈现这样的状况呢?我认为合理的一个金融交易应该有session的建立
同一时间应该验证只能有一个session的建立,很显然将来在登入的机制上有做这
样的机制(两个装置同时登入时,前登入的装置会被踢除断线),但在转帐的这个
动作似乎就没有把这样的机制建立起来。而是单纯的app这边验证完後,就把reqeust
送去给他们後台系统了,所以只要後台系统收到两笔看似合理重复的request就会
转帐两笔金额出去。
希望将来能赶快把这个漏洞补起来了,反覆的测试一下,大概抓到了bug的发动点
https://youtu.be/2tisdk2thAI
我依稀有一个印象是当时转帐的时候,刚好公司的teams对话跳出来,我点去看了
一下,跟我没关系就跳回原页面继续转帐了,果然看起来问题就是出在这个跳出
去的时间点,如果在启动双因子认证後,APP可能就会把整个转帐request送出去
,但如果刚好在这个时间点切换页面出去再回来後,APP会重新回到转帐流程,
对使用者来说看起来就像是刚刚的转帐没做完,很自然的就会在做一次双因子认
证,於是就出现这种短时间内,重复两笔相同内容的转帐出现了。
大家手贱无聊的,可以找自己的帐户玩看看,可能都会发生。
至於转出去的款项麻....银行那边的说法是不管怎样,都应该是要我这边去跟对
方银行申请协调,或直接跟收款人协调退款,他们没有立场代替使用者去讨这个
钱,即便我一直觉得你系统错误重复转帐,应该是你们去讨,怎麽会是我去讨?
不过看起来银行端可能有他们去讨就等於承认他们系统出问题的这种概念吧,所
以即使他们要帮忙讨,也是要我写个委托书(意思是我要讨的不是他门讨的),他
们才能跟对方银行启动这个追回款项的流程这样,想一想自己去讨好像还是快一
点了,不想把事情搞到那麽复杂,重点是想厘清到底是系统问题,还是我真的傻
了转了两次自己忘记了这样。
※ 引述《CloudJ ()》之铭言:
: 今天纪录跟对帐的时候发现6/20为什麽会有一笔转出的款项转出两次,且时间一致
: (12:13),打电话去客服查询,客服回覆是有两笔转帐资讯,分别时间在12:13:31,
: 另一笔在12:13:41。
: 第一,这个不是我常转出的帐号,是一个一个号码打的,能在这麽短时间内打两次可能性
: 实在很低。
: 第二,我转帐还有打备注共四个中文字,整个流程,就算我把帐号背起来,都不见得有机
: 会在10秒内完成。
: 所以合理怀疑应该是系统错误重复转帐了,已跟客服联络,现在就看将来要怎麽处理了
: ,毕竟钱已经转出去人家帐户了(对方当时也没对帐,只看我截图就觉得应该有转帐了)
: ,我自己当下是有看到转帐通知,但没想过会两笔重复,也没仔细看帐户记录,结果一
: 周後才发现我转出两笔,他收到两笔,未经对方同意直接在他帐户扣款好像也不合理,
: 但如果是将来系统出包重复转帐出去,要我自己去讨回也很奇怪,接下来就看将来要怎
: 麽处理了。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 39.9.137.36 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1656651588.A.383.html
1F:推 s1an: 直接金管会投诉 让他亲爸爸来电他 07/01 13:01
2F:推 abccbaandy: 免费帮debug耶XD 07/01 13:17
3F:→ chiyuan: 就在想说如果重复转成功的情况怎办就有人发生了 07/01 13:22
4F:推 BearFather: 真雷 这种直接投诉了 07/01 13:23
5F:推 yuenru: 简单讲 是操作APP过程中断就被认定是转出去了? 07/01 13:23
6F:推 a22635434: 看起来是画面被中断更新了 07/01 13:26
7F:→ a9910330: 投诉金管会...这算严重bug吧? 07/01 13:30
8F:推 snowcreeper: 相同手法重复10次 会产生10笔一样的转出吗 07/01 13:32
9F:推 keyman2: reproduce the issue 记得cc一份给老板 07/01 13:32
10F:→ snowcreeper: 这个app设计也太烂了 07/01 13:33
11F:推 alloc: 是我就直接投诉到底 这麽严重的包还要自己去处理 也太雷 07/01 13:35
12F:推 horusli: 投诉金管会,这种服务品质真的很无言 07/01 13:39
13F:推 utahraptor: 客户变fae帮忙复制问题 乾脆直接给权限开ticket好了 07/01 13:42
14F:→ Ken52039: 看起来的确很有可能跳回APP以後又做了一样的转帐 07/01 13:43
15F:推 loneloneago: 有些网银app短时间重复转帐会跳出提醒弹窗再次确认 07/01 13:43
16F:→ loneloneago: 将来可以把这功能加进去 07/01 13:44
17F:推 SilentBob: 30秒内转出转入帐号以及金额都一样的rq就应该直接阻挡 07/01 13:45
18F:推 abobstar: 这bug还挺严重的 07/01 13:46
19F:推 abobstar: 一般APP的使用经验转完一笔 要转下一笔都要重新登打 07/01 13:48
20F:推 robim: 让客户帮忙debug???也太可笑哈哈哈 07/01 13:49
21F:推 Go2: 人真好 帮忙debug 07/01 13:51
22F:推 corlachang: 切,这不关银行的事?真的要去投诉,这已经不是有无 07/01 14:15
23F:→ corlachang: 防呆的问题了,这设计上的缺失啊。 07/01 14:16
24F:推 maxcockroach: 刚转到自己帐户没问题 07/01 14:20
你有像影片那样切换出去?
25F:→ corlachang: 记得是彰银的PC网银,转帐完马上下一笔完全相同的,会 07/01 14:22
26F:→ corlachang: 跳出视窗问你,这两笔转帐也是不同的编号。 07/01 14:24
※ 编辑: CloudJ (101.10.46.35 台湾), 07/01/2022 14:34:54
27F:推 fufufu0623: 没诚意解决就是金管会阿 07/01 14:37
28F:推 chiyuan: 比较严重的是已经跳出错误讯息了,还转成功,这个超瞎 07/01 14:44
29F:→ chiyuan: 虽然1.3%很吸引人,但想到转帐会失败的可能就有点怕怕的 07/01 14:48
30F:推 lirick42: 这已经是重大疏失可以开罚了欸 07/01 15:15
31F:推 BNYMellon: 真离谱 07/01 15:56
32F:推 yuna0327: 忘记是那一家银行,连续快速转两笔钱会跳出提醒视窗"您 07/01 15:57
33F:→ yuna0327: 刚才已转过相同金额xx,是否继续这笔交易" 当时真的觉得 07/01 15:57
34F:→ yuna0327: 这个设计太贴心了,有时候不知道为什麽就会按到两次送出 07/01 15:57
35F:推 yeh0416: 帮忙debug要付钱啊 07/01 16:11
36F:推 justaID: 原po还帮他reproduce,被将来赚到一个免费QA,这个根本 07/01 16:19
37F:→ justaID: 就算系统bug,app设计不良造成误导user重复操作转帐,银 07/01 16:19
38F:→ justaID: 行端的态度不想认错想卸责,很不ok 07/01 16:19
39F:推 yuna0327: 看完影片觉得是设计不够细腻,当使用者跳出再跳回时, 07/01 16:24
40F:→ yuna0327: 应该要多增加转帐成功或失败的画面,不能都不处理停在 07/01 16:24
41F:→ yuna0327: 原画面,会让使用者误导以为没有转成功 07/01 16:24
42F:推 p520888: 这是银行设计问题吧 难道我购物结帐不需要确认吗 07/01 17:05
43F:推 dowbane: 等一下帮除错该发奖金吧 07/01 18:09
44F:推 Kirshoff: 转帐给自己还没遇过 找客服请工程师改善看看 07/01 18:18
45F:推 hh800315: 32楼那间是中信 07/01 18:51
46F:推 elfswordsman: 这都没设计到还要使用者自己吞XD 07/01 19:06
47F:推 spatacus2011: 这样操作过程就会转两次我觉得app很有问题.. 07/01 19:26
48F:推 spatacus2011: 有够雷的,除了转给自己根本不想用了 07/01 19:29
49F:推 ftank183: 32楼的大大那个好像大户也有 不知道是2还第3次就跳出来 07/01 19:42
50F:推 lottepudgy: 3.1% 真够的 07/01 19:44
51F:推 justaID: 防短时间重复转帐,我记得richart 好像也有 07/01 20:33
52F:推 DDG114514: 银行应该要付你Debug 费用 07/03 01:07
53F:推 zack2004: 直接投诉金管会了啊 07/03 02:03
54F:→ jefflin555: 每笔交易要有新的token,token重复就要拒接交易,这点 07/03 04:05
55F:→ jefflin555: 都做不到,不合格的银行 07/03 04:05
56F:推 barkids: 这还能信赖金融交易安全?岂容姑息 07/03 10:16
57F:→ barkids: 为了将来好,金管会非常需要知道 07/03 10:17
58F:推 ahjiy: 这间银行是不是想骗钱吸金,转入没问题,转出就一堆问题 07/03 22:10
59F:推 chunyen36: 客人帮你解决问题还不付钱 07/07 07:41
60F:→ justaID: 感觉是被压下来了,国家队丢不起这个脸 07/07 12:54