作者jason2641668 (钢球智者)
看板Stock
标题[新闻] 港股异常下单事件三竹:毫无关联系统正常
时间Fri Nov 26 18:21:23 2021
原文标题:
《资讯服务》港股异常下单事件 三竹:毫无关联、系统运作正常
原文连结:
https://www.chinatimes.com/realtimenews/20211126004007-260410?chdtv
发布时间:
17:392021/11/26
原文内容:
针对媒体报导有关110年11月25日有券商发生港股异常下单案件,为避免社会大众误解,
三竹(8284)声明此事件与三竹资讯无关,三竹的系统运作一切正常,持续供应稳定服务给
所有客户,
呼吁相关人士发文与报导,应善尽查证之责,切勿混淆视听。
经过了解,近期部份券商遭受骇客撞库攻击资安事件频传,即骇客拿网上已经泄露的用户
密码尝试攻击,台湾证券交易所表示,本月25号下午5点27分已接获元大证券及统一证券
通报资安事件,部分客户帐户遭不明人士冒用,进行复委托下单并成交之情事,元大及统
一证券表示已暂停复委托电子交易,改采人工下单。
对此,三竹对於已发生之事件深表遗憾,
同时强调整起骇客事件与三竹毫无关联。提醒投
资人注意,应定期更换投资帐户之密码,以维护自身权益。
心得/评论: ※必需填写满20字
云里雾理欸 都说自己没问题
所以他妈的到底是谁的问题!!!!!!!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.34.224.21 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Stock/M.1637922087.A.33E.html
※ 编辑: jason2641668 (114.34.224.21 台湾), 11/26/2021 18:21:53
1F:推 y1896547 : 有种就告元大啊 11/26 18:21
2F:推 xxxg00w0 : 三竹:这锅我不背喔 11/26 18:21
3F:→ DAEVA : 富贵角抖 11/26 18:22
4F:推 chinaeatshit: 三竹:想要我坦 当我山竹匿 11/26 18:25
5F:推 tigerzz3 : 好了 麦克风再给元大 11/26 18:25
6F:推 rayisgreat : 三竹:干我屁事 11/26 18:25
7F:→ tinlans : 撞库攻击没办法用在证券吧,我在 ptt 用 tinlans 11/26 18:26
8F:→ tinlans : 这个帐号骇客怎麽知道我身份证字号或证券帐号? 11/26 18:26
9F:→ tinlans : 这样就算我 ptt 用跟证券一样的密码,ptt 被入侵盗 11/26 18:27
10F:→ tinlans : 走我密码,他也没我身份证字号或期货帐号来撞库。 11/26 18:27
11F:→ tinlans : 除非是我 gmail 又用一样的密码,骇客登我 gmail 11/26 18:28
12F:→ tinlans : 慢慢翻信,而且信件里有出现我期货帐号或身份证字号 11/26 18:29
13F:推 vincent0911x: 商誉VS声誉 感觉会没结果 11/26 18:30
14F:推 johnny1125bo: 如果最後是元大自身问题 元大会更惨 确定要推锅吗 11/26 18:30
15F:→ tinlans : 而且 mobile app 要申请新凭证通常要打出生年月日 11/26 18:30
16F:→ Mazu323 : 问题是凭证没有也可以下港股? 11/26 18:31
17F:推 NEX4036 : 所以到底???踢皮球? 11/26 18:31
18F:→ Mazu323 : 帐号密码有了,但没有凭证应该是不能下单 11/26 18:31
19F:→ Caitsithdx : 三竹这件事吞下就等打不完的官司了,出事都算他的? 11/26 18:31
20F:→ tinlans : ,虽然不是不能写程式自动分析信件,但骇客不太有耐 11/26 18:31
21F:→ Mazu323 : 而且有人是没开过复委托也被下单 11/26 18:31
22F:→ tinlans : 心这样做,而且现在越来越多人用 2FA 机制登信箱了 11/26 18:31
23F:推 leon82guy : 三竹:我是三竹,不是山笋 11/26 18:32
24F:推 snownow : 说起来炉主元大跟统一的重讯呢 11/26 18:32
25F:→ tinlans : 比较有可能是三竹只接前端,後端 API server 由证券 11/26 18:32
26F:→ tinlans : 商自行实作提供给三竹接,然後 API 呼叫方式被分析 11/26 18:33
27F:推 g0t24568 : 有内鬼 干 11/26 18:33
28F:推 WTF55665566 : 究竟最後是谁会出来打球呢 好奇 11/26 18:33
29F:→ tinlans : ,被找到可以绕过凭证的漏洞。但这也解释不了被害人 11/26 18:33
30F:→ tinlans : 帐号清单是怎麽来的,怎麽知道这些帐号多少,里面 11/26 18:34
31F:→ Mazu323 : 统一证券也有受害者 11/26 18:34
32F:→ tinlans : 有足够的钱能圈存来下复委托。 11/26 18:34
33F:推 f204137 : 系统没问题 骇客钻漏洞才有问题XD 各说各话 11/26 18:35
34F:推 snownow : 是说统一证这麽边缘 股版受害者没人是这家的 11/26 18:35
35F:推 xxlaws : 喔喔 促咪喔 11/26 18:35
36F:→ tinlans : 如果真是资安问题,问题源至少会有两个以上。 11/26 18:35
37F:推 hhhomerun : 客户自己中钓鱼网站的机率好像满高的哦 11/26 18:35
38F:推 vincent0911x: 用三竹的券商这麽多 受害者集中在这两间也满怪 11/26 18:36
39F:推 k798976869 : 港股诈骗升级版 直接买 诈骗集团直接雇用骇客喔 11/26 18:36
40F:→ tinlans : 被钓鱼或者有使用那种能在一个软体里打进各家证券帐 11/26 18:36
41F:→ tinlans : 号密码来看盘的可能性的确是有。 11/26 18:37
42F:→ tinlans : 但要绕过下单凭证检测机制,或者知道使用者生日在 11/26 18:37
43F:→ tinlans : app 里申请到新凭证,那又是不太可能。 11/26 18:37
44F:→ tinlans : 光靠从那种软体外泄或者钓鱼网站收集资料比较难做到 11/26 18:38
45F:推 Mazu323 : 凭证没有可以下单,没开过复委托也被下单 11/26 18:38
46F:→ Mazu323 : 这不只帐号密码被骇的问题 11/26 18:39
47F:推 babyMclaren : 没删文 11/26 18:39
48F:推 ggirls : 你忘了台湾户政资资料2000万笔漏出. 11/26 18:40
49F:→ snownow : 2000万笔你一笔一笔try吗... 11/26 18:40
50F:推 wakaura : 甩锅大会 11/26 18:40
51F:→ WTF55665566 : 问题应该在凭证检核机制 肯定有问题 不然就算个资 11/26 18:40
52F:→ WTF55665566 : 全都露也应该有办法控管住 11/26 18:40
53F:→ WTF55665566 : 而且没开复委托也能下单 这根本莫名其妙 11/26 18:41
54F:推 dark22 : 帐密被骇是有可能的 家人用元大25号突然说密码被锁 11/26 18:41
55F:→ dark22 : 也觉得很奇怪 11/26 18:41
56F:推 hong92 : 统一也有受害者,元大就可以推托了 11/26 18:41
57F:→ ggirls : 如果没开复委托也被下单,那就呵呵。 11/26 18:41
58F:→ tinlans : 户政资料泄漏也要想办法关联到那个人在网路上的常用 11/26 18:41
59F:→ tinlans : 帐密才行,不然也不能拿来撞库啊。 11/26 18:41
60F:→ tinlans : 而且我记得三次登入失败锁定帐号的机制是各家都有。 11/26 18:42
61F:→ ggirls : 2000万身分证应该有生日,就可以申请凭证了。 11/26 18:42
62F:→ tinlans : 骇客不太可能拿没有信心的帐密列表来试。 11/26 18:42
63F:→ ggirls : 元大是用身分证当使用者名称 11/26 18:43
64F:推 rwhung : 个资有可能是被某些机构人内部人卖出去。然後有心人 11/26 18:43
65F:→ rwhung : 士去捞资料 11/26 18:43
66F:→ tinlans : 但所谓撞库常见手法是骇外面一般网站,放後门记帐密 11/26 18:44
67F:→ tinlans : ,然後做成清单去试其它网站。 11/26 18:44
68F:→ tinlans : 或者用钓鱼的手法取得帐密做成清单来使用。 11/26 18:44
69F:→ rwhung : 所以可能集中在某些券商上(并非一定是券商流出去) 11/26 18:44
70F:→ tinlans : 可是手上握有这些清单和户政资料,要怎麽做关联? 11/26 18:45
71F:推 ggirls : 别执着撞库。 11/26 18:45
72F:推 ph10 : 很多软体根本不是拿公钥来加密,凭证只是拿来验证 11/26 18:45
73F:→ ph10 : 身分证字号 11/26 18:45
74F:→ tinlans : 我在其它网站用 tinlans 当登入 ID,证券密码用一样 11/26 18:45
75F:→ tinlans : ,骇客也要有办法从我这 ID 关联出我身份证字号。 11/26 18:46
76F:→ rwhung : 用捞的啊… 大海捞针(当然是用电脑) 11/26 18:46
77F:→ dark22 : 家人用的是元大行动精灵 11/26 18:46
78F:→ tinlans : 这样他才能运用外面收集的帐密清单和户政资料。 11/26 18:46
79F:推 metallolly : 大家好 我是will 今天要来说一个金融大盗的故事 11/26 18:46
80F:→ rwhung : 如果是资安漏洞,可能连捞不太用 11/26 18:47
81F:→ tinlans : 所以我觉得不可能是撞库,人为跟系统两者相加产生的 11/26 18:51
82F:推 edwardtp : 三竹:跟我有关,怎麽可能只有元大出事 11/26 18:51
83F:→ tinlans : 问题比较大。帐户不可能从 0000000 到 999999 这样 11/26 18:51
84F:→ tinlans : 试,应该是有人流出帐号表,然後後端又有漏洞。 11/26 18:52
85F:推 neo5277 : 跟我预测的一样XDXDXDXDXDX 11/26 18:55
86F:推 OOorc : 元大真无耻欸 11/26 18:55
87F:→ tinlans : 下面那篇有人提到很多人密码也用生日,那的确光用 11/26 18:58
88F:→ tinlans : 户政流出资料就能做到登入+申请凭证。 11/26 18:58
89F:→ Kostolany : 三竹: 我烂归烂 但是硬要栽赃给我 我不认!!!!!!!! 11/26 18:58
90F:→ neo5277 : 怕被告我把文都删了XD 11/26 18:59
91F:推 fuckingman : 没得治了 11/26 19:02
92F:推 NowQmmmmmmmm: 用三竹的那麽多家券商只有你有事 11/26 19:04
93F:→ monkeyeden : 踢起来踢起来! 11/26 19:09
94F:推 now99 : 有凭证下单为啥会撞库? 11/26 19:20
95F:→ newstarisme : 随便也知道无关,元大还想骗 11/26 19:20
96F:→ now99 : 不可否认的机制做到可否认还是根本没验证凭证? 11/26 19:21
97F:推 jay123peter : 麻烦金管会 管一下好吗?到底那边出问题 11/26 19:25
98F:推 gj942l41l4 : 觉得满怪的 直觉上三竹出问题的机率小 11/26 19:36
99F:→ gj942l41l4 : 但同时两家券商中奖的机会也不大.. 11/26 19:36
100F:→ gj942l41l4 : 这真的要查清楚 11/26 19:37
101F:推 mack860120 : 元大还想甩锅啊 11/26 19:40
102F:推 strayfrog : 三竹这回应还蛮硬的 11/26 19:43
103F:推 Castle88654 : 不硬怎麽行 直接被说是自己的问题 还被周刊独家报 11/26 19:44
104F:→ Castle88654 : 导 11/26 19:44
105F:→ strayfrog : 最有趣的是用三竹的那麽多间,就刚好只有统一跟元大 11/26 19:47
106F:推 ndd2 : 我是没钱仔,一点都没怕到,没钱怎麽买? 11/26 19:48
107F:→ bitlife : 晚上7点多又发了一通,把券商改成业者,然後指名两间 11/26 19:59
108F:→ bitlife : 券商的部分改成部分业者 11/26 19:59
109F:推 qwre9854 : 光洋科股权战,金管会说只在乎投资人的权益是否遭 11/26 20:44
110F:→ qwre9854 : 受影响。元大这事件出来了,金管会在哪 11/26 20:44
111F:推 blargelp : 大家都用三竹只有你出事。三竹不背锅合理 11/26 20:58
112F:→ laechan : 我就说记者媒体们还真急着去报元大的声明 11/26 20:59
113F:→ laechan : 然後好像也不查证就去报导元大说是三竹的问题 11/26 21:00
114F:→ laechan : 话说某些媒体真的很敢没查证就报跟三竹有关,三竹有 11/26 21:05
115F:→ laechan : 股票代号耶,到时要是被告活该自找 11/26 21:05
116F:→ strayfrog : 媒体有报就该偷笑了,没看今天多晚才有新闻出现 唉 11/26 21:27
117F:推 hsiangyun : 金管会是死了是不是 11/26 22:33
118F:推 XDDDpupu5566: 再把我当山竹,我就变榴槤给你看 11/26 23:21
119F:推 ppc : XDDD 11/27 00:04