作者a1412762347 (A1)
看板creditcard
标题[新闻] 手机医疗费用支付App医指付传出用户信用
时间Sat Sep 16 03:18:35 2023
【资安日报】9月13日,手机医疗费用支付App医指付传出用户信用卡遭盗刷,但个资外泄
原因有待厘清
https://www.ithome.com.tw/news/158725
iThome 文/周峻佑 | 2023-09-13发表
这几天国内有两起资安事故引起各界关注,其中一项是与许多民众看医生有关的行动支付
App「医指付」有关,传出有不少用户反映他们绑定的信用卡出现盗刷的情况,对此,大
洸医学管理顾问公司发出声明初步解释事故经过与目前的处置作法,金管会也提出因应之
道,然而,究竟使用者的信用卡资料从何流出?仍有待进一步调查。
另一起事故则是发生在台中、彰化的肉品市场,他们都在11日疑似遭遇勒索软体攻击,而
影响营运流程,目前推测可能是遭到相同的骇客组织发动攻击。
https://i.imgur.com/rmvLPdM.jpg
【攻击与威胁】
手机医疗费用支付App医指付个资外泄,传出用户信用卡遭盗刷
根据TVBS新闻网、自由时报等多家媒体的报导,由大洸医学管理顾问公司经营、与台湾
135家医疗院所及30家银行合作的行动支付工具「医指付」,传出使用者绑定的的信用卡
遭到盗刷。
对此,大洸医学管理顾问公司发出声明,表示他们已经启动资安应对机制,暂停海外付款
,委由资安监识机构调查,厘清盗刷事件发生的原因。为强化运作效能及资安机制,该公
司亦委托宏科公司建置新版医指付系统,预计年底上线。
金融监督管理委员会表示,他们已请财金公司协助厘清资安漏洞并做补强。金管会银行局
副局长林志吉表示,由於遭盗刷持卡人,并不限於特定银行用户,推测资料外泄源头并非
银行端。此外,部分发卡机构已启动自主加强监控,例如:采取灰名单管理。银行局指出
,如果卡友遭盗刷,可向往来银行申请将款项列为争议帐款处理。
资料来源
1.
https://news.tvbs.com.tw/life/2238572
2.
https://ec.ltn.com.tw/article/breakingnews/4426459
3.
https://www.facebook.com/ehealthpay/posts/pfbid0UReS7hSi7kdDsWHZQLXQ6FPPf6aPCorYQuLVyRFZcL6HCR8NmJyfbLyBi6dHBNZcl
==============================================================================
医指付的大洸医学管理顾问公司表示今年底前会有新版APP,大洸回应的"若有未加密卡号
显示,则会先挡下来",意思是卡号可能会有未加密的情况....
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 136.23.34.88 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1694805517.A.F86.html
1F:→ cityport : 卡号裸奔的意思 09/16 04:31
2F:推 love981235 : 在13号被盗刷了三笔 总共13万… 09/16 04:33
3F:推 a3556959 : 笑死,主管机关还在护航 09/16 06:36
4F:推 iamhsg : 现在移除app里的卡号484也没用惹?QQ 09/16 07:50
5F:→ iamhsg : 虽然还没被盗刷 09/16 07:51
6F:推 Baternest : 看来很多是靠外包 反正旧版的洞补不好 也就放生了吧 09/16 08:10
7F:推 tonyian : 现在删除当然没用阿 09/16 08:18
8F:推 dannyyang : 推给骇客,接下来会不会推给中国? 09/16 08:44
9F:推 narcimeow : 已经外流的现在删也没用不如直接挂失换新卡 09/16 08:47
11F:推 Klauhal : 通讯过程加密只能表示无中间人或拆封包而已 09/16 09:53
12F:→ tonyian : client 端泄漏跟server 端泄漏,我是不觉得是app端 09/16 10:40
13F:→ tonyian : 泄漏,直觉是server 端有内鬼 09/16 10:40
14F:推 j49222106 : 我是用里面的iPass Money缴过挂号费,不晓得为什麽 09/16 10:47
15F:→ j49222106 : 当初申请好时,却一点都不想绑卡 09/16 10:47
16F:推 matlab1106 : 已经请银行发新卡了 app也赶快删掉 09/16 10:47
17F:→ cityport : AWS之前就发过公告..伺服器加密是挡外界攻击的墙 09/16 11:47
18F:→ cityport : 但你的门没关..或是门锁密码是9999..被闯入不干AWS 09/16 11:48
19F:→ cityport : 太多公司把主机搬到云端..却没管好门禁 09/16 11:49
21F:→ hyouun : 之前就有人提醒资安问题,但没改善 09/16 12:44
22F:推 vyvian : 密码只有四码 这种资安你敢用? 09/16 13:39
23F:→ corlachang : 四码还是数字而已。不过这APP真的好用,有跑医院的 09/16 16:49
24F:→ corlachang : 都能体会出诊间直奔药房看一堆人在柜台缴费机前排队 09/16 16:51
25F:→ corlachang : 那感觉就跟进海关用快速通关一样 09/16 16:52
26F:→ yixianl : 目前要用就绑有app可以关卡的吧 09/16 18:19
27F:→ yixianl : 关卡及设金额的 09/16 18:19
28F:推 jickey : 好奇医院直接导入三大pay或line pay悠游付会有什麽 09/16 19:04
29F:→ jickey : 问题吗?为何要特别做一个要绑卡的行动支付来用? 09/16 19:04
30F:推 peng198968 : 不然用台湾Pay也好 09/16 19:46
31F:→ TPDC : 惨... 09/16 22:00
32F:推 SaToI : 绑的刚好是八月中失效的sogo 卡, 躲过一次! XD 09/16 22:42
33F:推 handsome8888: 近期也两张被通知盗刷,还好都没成功 09/17 01:58
34F:→ thomaschion : 数位部:ZZZZ 09/17 11:18
35F:→ yixianl : 你没看到一堆pay吗 09/17 11:19
36F:→ yixianl : 大家都是能自己赚为什麽要给别人赚 09/17 11:19
37F:嘘 pippen2002 : 笑烂~~ 09/17 13:36
38F:→ aoc902001 : 卫福部不出来说明吗? 09/17 18:08
39F:推 tw11509 : 我先挂失了 09/17 22:51
40F:推 liaoya : 1.骇客盗资料,是卫福部的错喔?基本逻辑都没有哇! 09/18 23:53
41F:→ liaoya : 2.最好駡到医疗单位及卫福部不做任何便利的系统,以 09/18 23:53
42F:→ liaoya : 後看病都先在院内拿批价单到外面银行缴费,再回医院 09/18 23:53
43F:→ liaoya : (白痴没药医,跟着瞎乱) 09/18 23:53
44F:→ liaoya : 3. 骇客是哪来的,哪国的垃圾人种? 09/18 23:53