作者Psytoolkid (基德)
看板MobileComm
標題Re: [新聞] 百萬用戶注意! 「醫指付」疑洩資信用卡
時間Wed Sep 13 09:46:21 2023
原文恕刪。
我覺得大洸根本搞錯重點,我認真懷疑信用卡資料洩露是光明正大從app登錄進去拿的,這
個App登入只需要手機號碼和四位純數字密碼,關於手機號碼,大家應該都知道這個東西在
台灣完全沒有隱私,隨時都有人在試手機號碼是否有效,而四位純數字密碼對電腦暴力破解
來說是秒解。
我實際試過一分鐘連續登入錯誤超過30次都沒有任何防制措施,我相信是沒有限制登入嘗試
次數啦。
所以我使用完直接就刪除信用卡資料和常用使用者資料,目前一個禮拜還沒有盜刷發生,當
然還要觀察久一點才能更確認是否有效。
不過我看大洸的回覆好像覺得app的登入管理沒問題,完全沒提到這塊的安全保護有多差,
這種登入的管理大概跟財政部企業雲端那個預設密碼被拿去盜交易資料一樣蠢。
最後,明明交易時我就記得有看到ipass money選項,結果一進去居然跳通知說新增信用卡
才能交易,這什麼垃圾操作邏輯。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.242.199.179 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobileComm/M.1694569583.A.863.html
1F:推 mnxzq : app記錄安全碼很奇怪 信用卡公司沒3d驗證也很奇怪 09/13 09:49
2F:→ bkebke : X支付本來就沒在OTP或後三碼的,那些綁卡時做過了 09/13 09:53
3F:→ mnxzq : 醫指付是整張卡被拿去刷其他商店 不是透過醫指付ap 09/13 09:59
4F:→ mnxzq : p刷的 09/13 09:59
5F:推 hyghmax1202 : 醫指付的通路只有醫療院所 盜醫指付帳號也無法盜刷 09/13 10:07
6F:→ hyghmax1202 : 重點還是他們的資料庫安全性 09/13 10:07
7F:推 tetani : 以前網購超商取貨 詐騙集團也都能拿到購買資料 09/13 10:08
8F:→ tetani : 我猜應該是出了類似內鬼y 09/13 10:08
9F:→ tetani : 因為會有些人被盜刷 出現刷卡驗證失敗 09/13 10:09
10F:→ tetani : 代表卡號和安全碼是被整個複製走 09/13 10:10
11F:→ tetani : 但對方還是沒辦法通過2fa 09/13 10:10
12F:推 turndown4wat: 密碼只要四位數字? 09/13 10:26
13F:→ Psytoolkid : 我不是在說他用醫指付消費好嗎? 進去之後你信用卡 09/13 10:35
14F:→ Psytoolkid : 資料還存著的話,多的是方法拿信用卡資料。 09/13 10:35
15F:→ Psytoolkid : 連登入安全機制都做得這麼糞,我不相信他有加密。 09/13 10:36
16F:→ Psytoolkid : 2fa也可以盜啦,尤其用信件發送的。不過比這糞app 09/13 10:39
17F:→ Psytoolkid : 的登入機制好一百倍以上 09/13 10:39
18F:推 Mimmature : 你信用卡記本地端就好 存伺服器要不就心臟很大 09/13 11:13
19F:→ Mimmature : 要不就很有自信 09/13 11:13
20F:→ Mimmature : 存本地其他人盜用帳號密碼也盜不到信用卡 09/13 11:13
21F:→ Mimmature : 也能使用手機本身的金鑰加密工具 09/13 11:13
22F:→ Mimmature : 存伺服器被盜用帳號也不該下載完整的信用卡資料 09/13 11:13
23F:→ Mimmature : 直接在伺服器做金流本地顯示進度跟結果就好 09/13 11:13
24F:→ Mimmature : 如果你要下載回來才能跑金流 那乾脆存在本地 09/13 11:13
25F:→ Mimmature : 這就是很多事都沒做好的結果 09/13 11:13
26F:→ Mimmature : 就算你真的要下載回來 09/13 11:15
27F:→ Mimmature : 那你金鑰至少存在本地只有綁定的裝置才能解密吧 09/13 11:15
28F:推 tw11509 : 想像力真是有趣的東西,也太天馬行空了吧 09/13 11:25
29F:→ square4 : passkeys就分公鑰、私鑰,把密鑰保存、實體金鑰或 09/13 11:29
30F:→ square4 : 生物辨識解鎖交給用戶,無密碼才不容易被盜號,也 09/13 11:29
31F:→ square4 : 不像otp會被釣魚 09/13 11:29
32F:→ UWC : 看到這篇,又下載了一次醫指付APP來看,綁定的那張 09/13 15:12
33F:→ UWC : 信用卡就是之前被銀行通知被盜刷的信用卡,就是這麼 09/13 15:13
34F:→ UWC : 巧合 09/13 15:13
35F:→ forumk23 : 大規模洩漏不會是這種方式,登入 try 是男女朋友、 09/13 15:15
36F:→ forumk23 : 夫妻比較可能 09/13 15:15
37F:→ forumk23 : 後端資料庫的儲存方式和邏輯比較重要,最糟是明碼存 09/13 15:19
38F:→ forumk23 : ,刪卡但紀錄仍留,那真的只能停換卡或關國外消費自 09/13 15:19
39F:→ forumk23 : 保 09/13 15:19