作者leo5916267 (封膜猎人)
看板Soft_Job
标题[讨论] 银行程序的资安问题?
时间Mon Jun 29 13:20:31 2020
最近有跑银行的程序
我发现到有个会泄漏个资的操作流程
想跟大家讨论
之前我在办存摺停用
客服电话里的程序是要跟我确认
手机号码跟身份证字号
我这边觉得比较敏感的点是,身份证字号频繁的应用,有关银行的程序通常都要提交身份证
字号
在我这边的想法是说,身份证字号也是一个非常重要的个资,不应该频繁的做应用
在提交过程中容易有被窃取的风险
而且以验证身份的设计来说应该要避免外露太多有用的资讯才是
虽然是从客服中提出,但我当时身边也有有陌生人,而我就在这个「严谨」的程序中泄漏了
我的个资给第三方
这问题放到程式设计上也是有一样的问题,银行要怎麽确保有没有第三方也在监听我们的个
资?
我这边想到的就是隐私防备上最根本的瑕疵就在於,我们外露了隐私的资料去交换同样隐私
的资料
以至於当今的严密流程只是表面上的「严密」,但在实际操作上是充满外泄危机的
想跟大家讨论看看,从程式设计的角度来看我们银行程序上的资案问题
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 211.23.142.185 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1593408033.A.04E.html
1F:→ pttworld: 你身边有陌生人不会自己离开吗 06/29 13:50
2F:→ jay0815: 从您叙述的角度来看,对於个资进系统前的防范应该要由您 06/29 13:52
3F:→ jay0815: 来做好喔,银行系统也不可能去防范到这块,例如atm输入密 06/29 13:52
4F:→ jay0815: 码时 06/29 13:52
5F:→ labbat: 泄漏问题一律推荐区块链加密 06/29 13:54
6F:→ leo5916267: 但银行可以设计成让使用者可以不用提交身份证,这是U 06/29 14:07
7F:→ leo5916267: X所产生的个资问题 06/29 14:07
8F:→ petercoin: 不提交身分证那要用什麽资料来验证你才是对的人啊? 06/29 15:02
9F:推 annheilong: 身份证字号根本就已经不是隐私了... 很多外流啊... 06/29 15:18
10F:→ kingofsdtw: 银行: 请问你是否同意第三方使用? 是(0 ) 否( ) 06/29 15:22
11F:→ WashFreeID: 这是你自己程序的问题吧 难道你在打字时键盘被偷看 也 06/29 15:31
12F:→ WashFreeID: 是银行要负责吗? 06/29 15:31
13F:→ victor21813: 这样银行是不是还要先帮你全机扫毒 没事才开始传资料 06/29 15:40
14F:推 qrtt1: 你怕就临柜R 06/29 15:46
15F:推 gn00273680: 身分证号码真的不是什麽大不了的隐私~ 06/29 15:57
16F:→ gn00273680: 有些语音系统身分证是用手机按的 06/29 16:04
17F:推 alihue: 是台湾後来越来越滥用身分证当 id,连野鸡网站注册都要身 06/29 16:06
18F:→ alihue: 分证 06/29 16:06
19F:→ alihue: 政府应该要发行个人私钥的,让第三方可以认证本人 06/29 16:07
20F:→ DCTmaybe: 忘记是哪家电商,要下单还要先注册身分证,直接放弃 06/29 16:24
21F:推 tttkkk: 事实是,一旦不是面对面,就没有百分之百的安全了。 06/29 16:42
22F:推 qrtt1: 现在身份认证服务好像是依赖手机门号申请人 06/29 16:42
23F:→ chocopie: 20 楼 应该是momo 06/29 18:03
24F:推 crossdunk: moMo啊 最近还一堆被诈骗,总金额快三千万咧 06/29 18:29
25F:→ tw11509: 有时候弄再多,最终瓶颈还是使用者,使用者觉得麻烦就.. 06/29 21:08
26F:→ kvjo: 现在不论认证或付款 都有一种 集中到第三方的方式 去做 06/29 22:42
27F:→ kvjo: 不过还没在市场上 蔓延的普及 但说回来 也只是另一种集中 06/29 22:43
28F:→ kvjo: 曾经有段时期 有人弄虚拟键盘 + 符号对应表 给人用 06/29 22:43
29F:→ kvjo: 但 没有普遍 大概也没人用了吧 话说回来 偷看这事情 06/29 22:44
30F:→ kvjo: 已经不是技术上的资讯安全了阿 06/29 22:44
31F:推 Nonegrame: 你可以跟客服说我旁边有陌生人 不能给阿 06/29 22:59
32F:推 Msgbox: 用生物特徵 三方验证 06/30 00:34
33F:推 guanting886: 除非你去做一线或二线客服 不然你不知道克服看到的 06/30 02:55
34F:→ guanting886: 资料有没有码过 06/30 02:55
35F:推 guanting886: 每家验证身份方式也不同 如果你想问第三方有没有在 06/30 02:58
36F:→ guanting886: 监听 你也不知道是哪一方有在监听 06/30 02:58
37F:推 guanting886: 一般人顶多就是在没有陌生人跟监视器(有些会收音) 06/30 03:01
38F:→ guanting886: 的地方讲而已 06/30 03:01
39F:→ guanting886: 还有就是你得知了可以做什麽 哪些事 06/30 03:03
40F:→ guanting886: 权限可以扩张到那里 06/30 03:05
41F:→ guanting886: 比较重大的异动印象还是得本人去 06/30 03:06
42F:推 guanting886: 至於楼上讲到Momo 身分证问题 换个方式讲 你上淘宝 06/30 03:09
43F:→ guanting886: 买东西 一样注册 到後面 东西送来台湾 你还是要填身 06/30 03:10
44F:→ guanting886: 分证资料(过海关) 06/30 03:10
45F:→ guanting886: 你会因为这样不下订吗 或许 但很多人仍在给资料 06/30 03:11
46F:→ guanting886: 即使他们声明这项资料严格保证只会用在通关用途 但你 06/30 03:12
47F:→ guanting886: 相信吗 06/30 03:12
48F:推 guanting886: 我觉得淘宝收集到的资料量 足以建立国家级的经济/金 06/30 03:15
49F:→ guanting886: 融模型 用於分析或预测 06/30 03:15
50F:→ guanting886: 但是一般人对於这个应该没有太大的强烈感觉 大概网 06/30 03:16
51F:→ guanting886: 站要什麽 我就填什麽 因为上面有我要买的东西 06/30 03:16
52F:推 guanting886: 我会绑信用卡 丢身分证资料给对方 06/30 03:17
53F:→ guanting886: 因为我要完成那项目的我就必须这麽做 06/30 03:18
54F:推 guanting886: 在你生活中给出去的身分证、个人资料可能在各家平台 06/30 03:26
55F:→ guanting886: 都有 担心陌生人婊你的机会我觉得除了熟人所为 大概 06/30 03:26
56F:→ guanting886: 就是国家请到监听票挂线监听你电话惹 06/30 03:26
57F:嘘 final01: 神经病,你怎麽确保你临柜时负责的业务不是黑客假办的? 06/30 08:32
58F:→ final01: ? 06/30 08:32
59F:→ eva19452002: 怕就临柜办理,你想要便利就要牺牲一些安全性 06/30 09:38
60F:推 vi000246: 我只要待在特力屋柜台旁边 就能偷听到身份证了 06/30 10:35
61F:推 crossdunk: 我在全家也一直在听前面那个人的手机啊 06/30 12:00
62F:→ ChungLi5566: 客户端外泄是客户自己的问题 06/30 13:13
63F:→ CaptainTeemo: 等数位身份证用数位签章 06/30 17:25
64F:推 atpx: 你说的问题不是银行要负责的, 对银行来说, 这些是额外方便 07/01 00:12
65F:→ atpx: 顾客不用亲自临柜. 对银行来说, 本人临柜最准也最没争议 07/01 00:13
66F:推 atpx: 要无限上纲的话, 有人拿枪逼你, 那身分证/指纹/瞳孔/静脉纹 07/01 00:17
67F:→ atpx: 都可以取得. 07/01 00:17
68F:嘘 watergod: 虽然知道纯讨论,但真的只有傻眼 理由上面都说了 07/01 01:09
69F:推 nicetw20xx: 觉得不错的问题耶QQ 07/01 12:19
70F:→ nicetw20xx: 花旗会问毕业国小,身份证末 07/01 12:20
71F:→ nicetw20xx: 几码,生日手机之类的 07/01 12:20
72F:→ nicetw20xx: 同时在偷声纹路辨视 07/01 12:21