作者Psytoolkid (基德)
看板MobileComm
标题Re: [新闻] 百万用户注意! 「医指付」疑泄资信用卡
时间Wed Sep 13 09:46:21 2023
原文恕删。
我觉得大洸根本搞错重点,我认真怀疑信用卡资料泄露是光明正大从app登录进去拿的,这
个App登入只需要手机号码和四位纯数字密码,关於手机号码,大家应该都知道这个东西在
台湾完全没有隐私,随时都有人在试手机号码是否有效,而四位纯数字密码对电脑暴力破解
来说是秒解。
我实际试过一分钟连续登入错误超过30次都没有任何防制措施,我相信是没有限制登入尝试
次数啦。
所以我使用完直接就删除信用卡资料和常用使用者资料,目前一个礼拜还没有盗刷发生,当
然还要观察久一点才能更确认是否有效。
不过我看大洸的回覆好像觉得app的登入管理没问题,完全没提到这块的安全保护有多差,
这种登入的管理大概跟财政部企业云端那个预设密码被拿去盗交易资料一样蠢。
最後,明明交易时我就记得有看到ipass money选项,结果一进去居然跳通知说新增信用卡
才能交易,这什麽垃圾操作逻辑。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.242.199.179 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1694569583.A.863.html
1F:推 mnxzq : app记录安全码很奇怪 信用卡公司没3d验证也很奇怪 09/13 09:49
2F:→ bkebke : X支付本来就没在OTP或後三码的,那些绑卡时做过了 09/13 09:53
3F:→ mnxzq : 医指付是整张卡被拿去刷其他商店 不是透过医指付ap 09/13 09:59
4F:→ mnxzq : p刷的 09/13 09:59
5F:推 hyghmax1202 : 医指付的通路只有医疗院所 盗医指付帐号也无法盗刷 09/13 10:07
6F:→ hyghmax1202 : 重点还是他们的资料库安全性 09/13 10:07
7F:推 tetani : 以前网购超商取货 诈骗集团也都能拿到购买资料 09/13 10:08
8F:→ tetani : 我猜应该是出了类似内鬼y 09/13 10:08
9F:→ tetani : 因为会有些人被盗刷 出现刷卡验证失败 09/13 10:09
10F:→ tetani : 代表卡号和安全码是被整个复制走 09/13 10:10
11F:→ tetani : 但对方还是没办法通过2fa 09/13 10:10
12F:推 turndown4wat: 密码只要四位数字? 09/13 10:26
13F:→ Psytoolkid : 我不是在说他用医指付消费好吗? 进去之後你信用卡 09/13 10:35
14F:→ Psytoolkid : 资料还存着的话,多的是方法拿信用卡资料。 09/13 10:35
15F:→ Psytoolkid : 连登入安全机制都做得这麽粪,我不相信他有加密。 09/13 10:36
16F:→ Psytoolkid : 2fa也可以盗啦,尤其用信件发送的。不过比这粪app 09/13 10:39
17F:→ Psytoolkid : 的登入机制好一百倍以上 09/13 10:39
18F:推 Mimmature : 你信用卡记本地端就好 存伺服器要不就心脏很大 09/13 11:13
19F:→ Mimmature : 要不就很有自信 09/13 11:13
20F:→ Mimmature : 存本地其他人盗用帐号密码也盗不到信用卡 09/13 11:13
21F:→ Mimmature : 也能使用手机本身的金钥加密工具 09/13 11:13
22F:→ Mimmature : 存伺服器被盗用帐号也不该下载完整的信用卡资料 09/13 11:13
23F:→ Mimmature : 直接在伺服器做金流本地显示进度跟结果就好 09/13 11:13
24F:→ Mimmature : 如果你要下载回来才能跑金流 那乾脆存在本地 09/13 11:13
25F:→ Mimmature : 这就是很多事都没做好的结果 09/13 11:13
26F:→ Mimmature : 就算你真的要下载回来 09/13 11:15
27F:→ Mimmature : 那你金钥至少存在本地只有绑定的装置才能解密吧 09/13 11:15
28F:推 tw11509 : 想像力真是有趣的东西,也太天马行空了吧 09/13 11:25
29F:→ square4 : passkeys就分公钥、私钥,把密钥保存、实体金钥或 09/13 11:29
30F:→ square4 : 生物辨识解锁交给用户,无密码才不容易被盗号,也 09/13 11:29
31F:→ square4 : 不像otp会被钓鱼 09/13 11:29
32F:→ UWC : 看到这篇,又下载了一次医指付APP来看,绑定的那张 09/13 15:12
33F:→ UWC : 信用卡就是之前被银行通知被盗刷的信用卡,就是这麽 09/13 15:13
34F:→ UWC : 巧合 09/13 15:13
35F:→ forumk23 : 大规模泄漏不会是这种方式,登入 try 是男女朋友、 09/13 15:15
36F:→ forumk23 : 夫妻比较可能 09/13 15:15
37F:→ forumk23 : 後端资料库的储存方式和逻辑比较重要,最糟是明码存 09/13 15:19
38F:→ forumk23 : ,删卡但纪录仍留,那真的只能停换卡或关国外消费自 09/13 15:19
39F:→ forumk23 : 保 09/13 15:19