作者gisela514 (菈芬朵)
看板Stock
标题[新闻] 系统爆「撞库攻击」 三竹:与之无关
时间Fri Nov 26 18:42:03 2021
原文标题:
券商下单系统爆「撞库攻击」 三竹声明「与之无关」正协助补强交易安全
原文连结:
https://www.ctwant.com/article/152883
发布时间:2021-11-26 18:14
原文内容:
国内元大证券「行动精灵」App海外复委托下单系统,11月25日下午突然出现所谓的「撞
库攻击」网路资安事件,遭骇客取得帐号、密码的顾客,则自动下单买港股「深蓝科技控
股」,券商正委托系统资讯商新增程序,补强交易安全防护力。统一证也通报类似情节,
也因此暂停复委托电子下单。
三竹资讯则发布声明,强调「券商复委托下单系统异常,与三竹资讯无关」。三竹资讯董
事长兼总经理邱宏哲也亲自向CTWANT记者表示,三竹资讯仅是为券商的App设计前台,并
无涉入帐号、密码,而遭到骇客入侵的属於券商负责的中後台端,与三竹资讯设计的系统
完全无关。
元大证「行动精灵」App的海外复委托交易功能,11月25日遭券商主动发现传出遭骇客入
侵的异常下单港股案件之後,紧急关闭改为人工电话下单至今还未恢复,而该系统是委由
三竹资讯为元大证量身订做,其中交易下单的「凭证」登录则非三竹资讯所做,另为元大
证券寻求的合作厂商。
三竹资讯表示,该资安事件可以从两个层面来看,一是骇客如何取得顾客的帐号、密码?
一是下单交易的「凭证」登录的帐号、密码,涉及到使用「生日」为帐密的顾客,是否因
此容易被骇客入侵,而这也就是如外界所推测的「撞库攻击」,骇客从网路上蒐集到民众
常使用的帐号、密码之後,经由多次尝试登录下单金流系统而最後攻击成功。
由於多个「凭证」登录交易,会让民众使用「生日」即可成功登陆,因此此次元大证的「
行动精灵」App海外复委托下单系统,出现异常下单资安事件,遭骇客入侵的系统漏洞真
正原因,还有待元大证调查了解。
目前三竹资讯协助补强元大证的「行动精灵」App的交易防护力,除了原有的「凭证」登
录程序之外,将再新增设计一层的「OTP」(one-time password)简讯动态密码的程式,
即是一次性单次有效密码,补强下单交易防护力。
以下为三竹资讯声明全文。
针对媒体报导有关110年11月25日有券商发生港股异常下单案件,为避免社会大众误解,
本公司在此声明此事件与三竹资讯无关,三竹资讯的系统运作一切正常,持续供应稳定服
务给所有客户,呼吁相关人士发文与报导,应善尽查证之责,切勿混淆视听。
经过了解,近期部份券商遭受骇客撞库攻击资安事件频传,即骇客拿网上已经泄露的用户
密码尝试攻击,台湾证券交易所就表示,本月25号下午5点27分已接获元大证券及统一证
券通报资安事件,部分客户帐户遭不明人士冒用,进行复委托下单并成交之情事,元大及
统一证券表示已暂停复委托电子交易,改采人工下单。
对此,三竹资讯对於已发生之事件深表遗憾,同时强调整起骇客事件与三竹资讯毫无关联
。提醒投资人注意,应定期更换投资帐户之密码,以维护自身权益。
心得/评论:
三竹连老板邱老大都出面啦~~讲的很详细内~
所以元大的赔偿......???
三竹:这锅我不背!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.163.126.97 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Stock/M.1637923326.A.CAF.html
※ 编辑: gisela514 (118.163.126.97 台湾), 11/26/2021 18:42:36
1F:推 cuteSquirrel: 最离谱的是凭证怎麽掉的 = = 11/26 18:43
2F:推 AxelGod : 董事长总经理直接出面说了 与山竹无关 元大: 11/26 18:47
3F:→ mioz : 每秒几千万上下还要OTP 这下元大要崩了 11/26 18:48
4F:推 stlinman : 呵呵 ~ 安抚客户说法 " 都是别人出包! " 11/26 18:48
5F:推 gint5566 : 这个不出手 去管那个桌历ZZ 11/26 18:49
6F:推 BDrip : 凭证就用生日来取得的呀 生日都当密码了 11/26 18:49
7F:推 neo5277 : 跟我预测的一样XDXDXDXDXDX 11/26 18:51
8F:推 loveponpon : 三竹:欸这锅我不要背 你自己背 11/26 18:52
9F:→ tinlans : OTP 其实安卓手机已经有先例可以被骇客偷了。 11/26 18:54
10F:→ tinlans : 凭证机制其实也是台湾特产,外国只有 OTP。 11/26 18:54
11F:→ tctv2002 : 乾脆下单 多做一个指纹认证算了xd 11/26 18:56
12F:→ tinlans : 不可能是撞库,一般撞库用的帐密清单是自己取的 ID 11/26 18:56
13F:→ tinlans : 上面讲的密码用身份证字号比较有可能,要问一下 11/26 18:57
14F:→ tinlans : 受害人是不是都这样设密码。 11/26 18:57
15F:推 neo5277 : xss 很久以後 针对性吧早上怕被告我把文都删了XD 11/26 18:58
16F:推 BDrip : 你提醒文都删了 我就去备份站看了 这样会不会被告( 11/26 19:00
17F:推 neo5277 : 还有备份喔?我来找找 11/26 19:01
18F:推 neo5277 : 靠真的有 但是我觉得应该89不离十 11/26 19:04
19F:→ tinlans : xss 也要证券商有 web API 给你跨站导过去吧 11/26 19:05
20F:→ tinlans : 软体跟後端如果是自订 TCP 封包格式传的 XSS 就不行 11/26 19:05
21F:推 wyytw : 甩锅 11/26 19:05
22F:→ apple123773 : 结果元大开大 说这些人的密码都是.....XD 11/26 19:07
23F:→ tinlans : 不过说真的如果是拿户政外泄资料的身份证字号和生日 11/26 19:07
24F:→ tinlans : 去撞库的,那绝对不可能只有这两家出事。 11/26 19:07
25F:推 neo5277 : 不是 不扯到凭证的话只针对ID跟密码那满简单的 11/26 19:07
26F:→ neo5277 : 然後配上有人说下单营业员看到适用行动精灵 11/26 19:08
27F:推 Mazu323 : 的确如果只是单纯的帐密~不该只有这两家有问题 11/26 19:09
28F:推 lolic : 全推给民众最简单罗 11/26 19:09
29F:推 jerrylin : 所以就是被骇客骇了 解释一堆干嘛 11/26 19:10
30F:→ tinlans : 帐密被盗这件事几乎是肯定的,只是如新闻标题说的是 11/26 19:10
31F:→ tinlans : 靠撞库登入成功我觉得不可能,外面网站都是自订 ID 11/26 19:10
32F:→ tinlans : 很难关联到你的身份证字号。 11/26 19:11
33F:→ tinlans : 基本上应该至少有两个问题存在:1. 人为流出个资 11/26 19:12
34F:→ tinlans : 2. 後端盲信自己接收到的输入全部合法。 11/26 19:12
35F:推 hhhomerun : 想得太复杂了 还xss勒 做个很像券商的钓鱼网站 让你 11/26 19:13
36F:→ hhhomerun : 登入进去 想要你输入生日也很简单好吗 11/26 19:13
37F:→ hhhomerun : 都到手以後 再用行动装置去登入和装凭证 就下单了 11/26 19:14
38F:→ tinlans : 不管是钓鱼还是撞库,都无法解释只有这两家出事啊 11/26 19:14
39F:推 apolloapollo: 猛撞攻击 11/26 19:15
40F:→ hhhomerun : 钓鱼网站 就做元大跟统一的就好了啊 你会拿你富邦的 11/26 19:16
41F:→ hhhomerun : 帐密去登看起来像元大的网站? 不会啊 11/26 19:16
42F:→ tinlans : 合理 11/26 19:17
43F:→ hhhomerun : 还是你觉得诈骗集团就是要认真为台湾50家券商都做一 11/26 19:17
44F:嘘 setsunaxia : 唬烂的,明明就资料外泄 11/26 19:17
45F:→ hhhomerun : 个网站 显然不会 要做就挑大的做就好 11/26 19:17
46F:推 koibido : 是不是vip户直接连到後台结果被骇 11/26 19:19
47F:→ tinlans : 确实这样是可能的,而且问受害当事人一般也很难记住 11/26 19:19
48F:→ hhhomerun : 而且 这根本到国安层级了 券商和厂商再吵也没意义 11/26 19:19
49F:→ tinlans : 自己有没有开过这种网站。但既然搜寻引擎上看不到, 11/26 19:19
50F:→ tinlans : 那透过简讯或电子邮件提供网址的可能性就很高, 11/26 19:20
51F:→ hhhomerun : 我猜 以後大家手机登入下单系统 可能都要先打OTP才 11/26 19:20
52F:→ hhhomerun : 能下单了 11/26 19:20
53F:→ tinlans : 事後也容易跟受害人收集到共通点。 11/26 19:21
54F:推 BDrip : 我觉得只有这两家数是因为就这两家的客户够吃下那些 11/26 19:21
55F:→ BDrip : 单 干嘛再增加成本( 11/26 19:21
56F:→ tinlans : 凭证确实是一个很奇怪的东西,外国都是 OTP 而已。 11/26 19:23
57F:→ tinlans : 不过以鬼岛政府尿性我觉得会搞出凭证+OTP都要的制度 11/26 19:24
58F:推 now99 : 绑定手机装置,FIDO验证就可以了 11/26 19:24
59F:推 pastrolia : 与之无关…?文言文吗? 11/26 19:28
60F:→ schula : 下单都要OTP太麻烦了吧,明明是元大自己安全性问题 11/26 19:36
61F:推 Castle88654 : 元大周刊王踹共 11/26 19:39
62F:推 shadow0326 : 看不懂在写什麽 11/26 19:50
63F:推 zxxz67 : 元大是不是金主阿 直接无视不查 11/26 19:51
64F:→ s860134 : 手机下单凭证可以登入後申请 其实没啥用 11/26 19:52
65F:→ s860134 : 凭证是在证明你是这个人,但是你只要帐密就能登入 11/26 19:53
66F:→ s860134 : 干嘛还多一个凭证申请XD 11/26 19:53
67F:推 pippen2002 : 踢皮球大赛罗,鬼岛鬼股投资人真可怜?! 11/26 19:53
68F:推 BDrip : 谁叫凭证申请那麽简单( 11/26 19:54
69F:→ s860134 : 简单来说只要有帐密,就能下单了拉 生日都不用 11/26 19:54
70F:→ s860134 : 我用过五家券商(第一凯基永丰鑫丰日盛)手机都是三竹 11/26 19:56
71F:→ s860134 : 凭证都是你登入後就能申请了 11/26 19:57
72F:→ s860134 : 所以我一直搞不懂下单要凭证干嘛?完全没更安全 11/26 19:57
73F:→ overhead : 我之前就觉得登入後申请凭证逻辑很怪的,还以为是 11/26 20:01
74F:→ overhead : 自己不懂资安,结果是真的很怪啊 11/26 20:01
75F:→ bitlife : 凭证的用途是用来做为[不可否认],以前有阵子我印象 11/26 20:01
76F:→ bitlife : 是要先临柜申请PC的,然後下载手机的必须透过PC启动 11/26 20:02
77F:→ bitlife : 传到手机这个动作,等於是PC替手机做背书,可能後来很 11/26 20:02
78F:→ bitlife : 多年轻人只用手机,而且都线上申办不临柜,才放宽了这 11/26 20:02
79F:→ bitlife : 个限制,但又没加上简讯绑定成功才能下载之类的防范 11/26 20:03
80F:→ bitlife : 措施,於是就变成前面推文说的奇怪现象 11/26 20:03
81F:推 jerrylin : 还好我只用券商软体下单不用手机下单 11/26 20:04
82F:→ brella : 夸张 11/26 20:04
83F:→ jerrylin : 这样有事一定是券商要赔我钱 11/26 20:04
84F:推 Kobe5210 : 还好我老古板,习惯用电脑网页下单... 11/26 20:09
85F:推 overhead : 但电脑一样有被骇的机率吧xd 11/26 20:10
86F:推 shyshyan : 问题是不是有帐号密码就能下单 还要有凭证 他怎麽 11/26 20:12
87F:→ shyshyan : 弄到凭证?或者他不用凭证就能下单? 11/26 20:12
88F:推 honeypeanut : 金管会:没事儿没事儿 11/26 20:13
89F:→ shyshyan : 而且帐号都是身分证 是有多少网站用身分证当帐号== 11/26 20:13
90F:推 diogofseixas: 券商的凭证是笑话啊,输入生日即可取得 11/26 20:14
91F:推 s860134 : 手机凭证可以登入後申请: 所以我只需要帐密阿XD 11/26 20:15
92F:→ s860134 : 输入生日还多一层保护咧 11/26 20:16
93F:推 shyshyan : 一堆人被盗帐号在差不多时间买仙股 最好是帐号被盗 11/26 20:16
94F:→ shyshyan : 那麽简单啦== 11/26 20:16
95F:→ shyshyan : 怎麽想都是你系统被骇 被扫出一堆帐号下单好吗 11/26 20:17
96F:→ s860134 : 很多人是因为没开复委托所以不知道已经外泄了八.. 11/26 20:22
97F:→ s860134 : 这次都是有开复委托 11/26 20:22
98F:→ s860134 : 下次直接搞有开期货的,弄出下一个 0206 惨案XD 11/26 20:23
99F:→ bitlife : 期货比较没那麽容易,因为保证金要自己主动汇款进去 11/26 20:25
100F:→ bitlife : 保证金帐户,不像股票圈存是下单时自动被圈 11/26 20:26
101F:→ linkmusic : 这下糗了凭证也不甘三竹的事 11/26 20:54
102F:→ linkmusic : 凭证是委外哪家作的为啥元大不公布? 11/26 20:56
103F:→ nacy204327 : 该不会是ㄍㄨㄢ…… 11/26 21:00
104F:推 WhitePope : 凭证并非没用,而是用来防止侧录和伪装攻击。如果没 11/26 21:04
105F:→ WhitePope : 有凭证,骇客就可以侧录网路流量,录下你的交易资讯 11/26 21:04
106F:→ WhitePope : 破解後,再做一个和交易app一样的假app, 伪装成你去 11/26 21:04
107F:→ WhitePope : 下单 11/26 21:04
108F:→ WhitePope : 注意这个差别是,app 和券商部份完全没漏洞和过失。 11/26 21:05
109F:→ WhitePope : 骇客就可以只靠侧录完成入侵交易。这就是凭证的重要 11/26 21:05
110F:→ WhitePope : 性 11/26 21:05
111F:推 WhitePope : 说凭证没用就像你家被小偷破窗偷入,你说:大门真没 11/26 21:07
112F:→ WhitePope : 用,小偷从窗户就可以进来了,不如把大门拆下来好了 11/26 21:07
113F:推 WhitePope : 其实重点在为什麽凭证那麽好取得吧?这就像你家装了 11/26 21:11
114F:→ WhitePope : 无敌防盗门窗,但你却把大门钥匙放在门旁的花盆底下 11/26 21:11
115F:推 WhitePope : 增加凭证的取得认证才是应该要做的事。例如要去券 11/26 21:16
116F:→ WhitePope : 商登记手机,取得凭证时要经过OTP认证。 11/26 21:16
117F:→ tctv2002 : 我觉得下载凭证 可以多一道视讯认证 11/26 21:28
118F:→ tctv2002 : 类似网银视讯开卡 亮身分证之类的 11/26 21:29
119F:推 stot404 : 我密码跟身分证还有生日完全无关,可以说是一串乱码 11/26 22:55
120F:→ stot404 : 喔0.0) 11/26 22:55
121F:→ Arpia : 看山竹这重讯,应该就不关app的事 11/26 23:34
122F:→ Arpia : 出包的券商只一直说app帐密问题,好像完全避谈它发 11/26 23:34
123F:→ Arpia : 的“凭证” 11/26 23:34
124F:推 ericsg : 台湾证券的凭证就只有一家做最多啦 11/26 23:52
125F:推 Assyla : 看完这则新闻,一直怀疑其实统一是被乱拉出来的 11/27 00:17
126F:→ Assyla : 不然只有元大有问题了,就很难推给三竹 11/27 00:17
127F:推 vyvian : 就全部改用自然人凭证吧 每次交易都要插卡最安全 11/27 01:53
128F:→ llw116 : 凭证只是对下单内容做加密,後台再验证签文与下单 11/27 03:16
129F:→ llw116 : 内容是否符合,单纯捞到凭证不一定有用,还要看签 11/27 03:16
130F:→ llw116 : 文的格式,可能要看签文的格式是否外泄。 11/27 03:16
131F:推 ntg123 : 哈!懂的人就知道问题出在谁了 11/27 05:42
132F:推 neil25 : 一直在讨论用户端 有人没开复委托没开外币帐户 一 11/27 09:37
133F:→ neil25 : 样被下单 感觉是直接入侵资料库下单的 11/27 09:37
134F:推 dunjiin : 有人没下载行动下单也中,所以完全是凭证漏洞,无 11/27 22:27
135F:→ dunjiin : 关你用不用 11/27 22:27
136F:推 dunjiin : 回127楼,手机插卡下单,强人所难 11/27 22:31