作者gisela514 (菈芬朵)
看板Stock
標題[新聞] 系統爆「撞庫攻擊」 三竹:與之無關
時間Fri Nov 26 18:42:03 2021
原文標題:
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
原文連結:
https://www.ctwant.com/article/152883
發布時間:2021-11-26 18:14
原文內容:
國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞
庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控
股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,
也因此暫停複委託電子下單。
三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董
事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並
無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統
完全無關。
元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入
侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由
三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大
證券尋求的合作廠商。
三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼?
一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因
此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾
常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。
由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「
行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真
正原因,還有待元大證調查了解。
目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登
錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,
即是一次性單次有效密碼,補強下單交易防護力。
以下為三竹資訊聲明全文。
針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,
本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服
務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。
經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶
密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證
券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及
統一證券表示已暫停複委託電子交易,改採人工下單。
對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯
。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
心得/評論:
三竹連老闆邱老大都出面啦~~講的很詳細內~
所以元大的賠償......???
三竹:這鍋我不背!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.126.97 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Stock/M.1637923326.A.CAF.html
※ 編輯: gisela514 (118.163.126.97 臺灣), 11/26/2021 18:42:36
1F:推 cuteSquirrel: 最離譜的是憑證怎麼掉的 = = 11/26 18:43
2F:推 AxelGod : 董事長總經理直接出面說了 與山竹無關 元大: 11/26 18:47
3F:→ mioz : 每秒幾千萬上下還要OTP 這下元大要崩了 11/26 18:48
4F:推 stlinman : 呵呵 ~ 安撫客戶說法 " 都是別人出包! " 11/26 18:48
5F:推 gint5566 : 這個不出手 去管那個桌曆ZZ 11/26 18:49
6F:推 BDrip : 憑證就用生日來取得的呀 生日都當密碼了 11/26 18:49
7F:推 neo5277 : 跟我預測的一樣XDXDXDXDXDX 11/26 18:51
8F:推 loveponpon : 三竹:欸這鍋我不要揹 你自己背 11/26 18:52
9F:→ tinlans : OTP 其實安卓手機已經有先例可以被駭客偷了。 11/26 18:54
10F:→ tinlans : 憑證機制其實也是台灣特產,外國只有 OTP。 11/26 18:54
11F:→ tctv2002 : 乾脆下單 多做一個指紋認證算了xd 11/26 18:56
12F:→ tinlans : 不可能是撞庫,一般撞庫用的帳密清單是自己取的 ID 11/26 18:56
13F:→ tinlans : 上面講的密碼用身份證字號比較有可能,要問一下 11/26 18:57
14F:→ tinlans : 受害人是不是都這樣設密碼。 11/26 18:57
15F:推 neo5277 : xss 很久以後 針對性吧早上怕被告我把文都刪了XD 11/26 18:58
16F:推 BDrip : 你提醒文都刪了 我就去備份站看了 這樣會不會被告( 11/26 19:00
17F:推 neo5277 : 還有備份喔?我來找找 11/26 19:01
18F:推 neo5277 : 靠真的有 但是我覺得應該89不離十 11/26 19:04
19F:→ tinlans : xss 也要證券商有 web API 給你跨站導過去吧 11/26 19:05
20F:→ tinlans : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行 11/26 19:05
21F:推 wyytw : 甩鍋 11/26 19:05
22F:→ apple123773 : 結果元大開大 說這些人的密碼都是.....XD 11/26 19:07
23F:→ tinlans : 不過說真的如果是拿戶政外洩資料的身份證字號和生日 11/26 19:07
24F:→ tinlans : 去撞庫的,那絕對不可能只有這兩家出事。 11/26 19:07
25F:推 neo5277 : 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的 11/26 19:07
26F:→ neo5277 : 然後配上有人說下單營業員看到適用行動精靈 11/26 19:08
27F:推 Mazu323 : 的確如果只是單純的帳密~不該只有這兩家有問題 11/26 19:09
28F:推 lolic : 全推給民眾最簡單囉 11/26 19:09
29F:推 jerrylin : 所以就是被駭客駭了 解釋一堆幹嘛 11/26 19:10
30F:→ tinlans : 帳密被盜這件事幾乎是肯定的,只是如新聞標題說的是 11/26 19:10
31F:→ tinlans : 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID 11/26 19:10
32F:→ tinlans : 很難關聯到你的身份證字號。 11/26 19:11
33F:→ tinlans : 基本上應該至少有兩個問題存在:1. 人為流出個資 11/26 19:12
34F:→ tinlans : 2. 後端盲信自己接收到的輸入全部合法。 11/26 19:12
35F:推 hhhomerun : 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你 11/26 19:13
36F:→ hhhomerun : 登入進去 想要你輸入生日也很簡單好嗎 11/26 19:13
37F:→ hhhomerun : 都到手以後 再用行動裝置去登入和裝憑證 就下單了 11/26 19:14
38F:→ tinlans : 不管是釣魚還是撞庫,都無法解釋只有這兩家出事啊 11/26 19:14
39F:推 apolloapollo: 猛撞攻擊 11/26 19:15
40F:→ hhhomerun : 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的 11/26 19:16
41F:→ hhhomerun : 帳密去登看起來像元大的網站? 不會啊 11/26 19:16
42F:→ tinlans : 合理 11/26 19:17
43F:→ hhhomerun : 還是你覺得詐騙集團就是要認真為台灣50家券商都做一 11/26 19:17
44F:噓 setsunaxia : 唬爛的,明明就資料外洩 11/26 19:17
45F:→ hhhomerun : 個網站 顯然不會 要做就挑大的做就好 11/26 19:17
46F:推 koibido : 是不是vip戶直接連到後台結果被駭 11/26 19:19
47F:→ tinlans : 確實這樣是可能的,而且問受害當事人一般也很難記住 11/26 19:19
48F:→ hhhomerun : 而且 這根本到國安層級了 券商和廠商再吵也沒意義 11/26 19:19
49F:→ tinlans : 自己有沒有開過這種網站。但既然搜尋引擎上看不到, 11/26 19:19
50F:→ tinlans : 那透過簡訊或電子郵件提供網址的可能性就很高, 11/26 19:20
51F:→ hhhomerun : 我猜 以後大家手機登入下單系統 可能都要先打OTP才 11/26 19:20
52F:→ hhhomerun : 能下單了 11/26 19:20
53F:→ tinlans : 事後也容易跟受害人收集到共通點。 11/26 19:21
54F:推 BDrip : 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些 11/26 19:21
55F:→ BDrip : 單 幹嘛再增加成本( 11/26 19:21
56F:→ tinlans : 憑證確實是一個很奇怪的東西,外國都是 OTP 而已。 11/26 19:23
57F:→ tinlans : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度 11/26 19:24
58F:推 now99 : 綁定手機裝置,FIDO驗證就可以了 11/26 19:24
59F:推 pastrolia : 與之無關…?文言文嗎? 11/26 19:28
60F:→ schula : 下單都要OTP太麻煩了吧,明明是元大自己安全性問題 11/26 19:36
61F:推 Castle88654 : 元大週刊王踹共 11/26 19:39
62F:推 shadow0326 : 看不懂在寫什麼 11/26 19:50
63F:推 zxxz67 : 元大是不是金主阿 直接無視不查 11/26 19:51
64F:→ s860134 : 手機下單憑證可以登入後申請 其實沒啥用 11/26 19:52
65F:→ s860134 : 憑證是在證明你是這個人,但是你只要帳密就能登入 11/26 19:53
66F:→ s860134 : 幹嘛還多一個憑證申請XD 11/26 19:53
67F:推 pippen2002 : 踢皮球大賽囉,鬼島鬼股投資人真可憐?! 11/26 19:53
68F:推 BDrip : 誰叫憑證申請那麼簡單( 11/26 19:54
69F:→ s860134 : 簡單來說只要有帳密,就能下單了拉 生日都不用 11/26 19:54
70F:→ s860134 : 我用過五家券商(第一凱基永豐鑫豐日盛)手機都是三竹 11/26 19:56
71F:→ s860134 : 憑證都是你登入後就能申請了 11/26 19:57
72F:→ s860134 : 所以我一直搞不懂下單要憑證幹嘛?完全沒更安全 11/26 19:57
73F:→ overhead : 我之前就覺得登入後申請憑證邏輯很怪的,還以為是 11/26 20:01
74F:→ overhead : 自己不懂資安,結果是真的很怪啊 11/26 20:01
75F:→ bitlife : 憑證的用途是用來做為[不可否認],以前有陣子我印象 11/26 20:01
76F:→ bitlife : 是要先臨櫃申請PC的,然後下載手機的必須透過PC啟動 11/26 20:02
77F:→ bitlife : 傳到手機這個動作,等於是PC替手機做背書,可能後來很 11/26 20:02
78F:→ bitlife : 多年輕人只用手機,而且都線上申辦不臨櫃,才放寬了這 11/26 20:02
79F:→ bitlife : 個限制,但又沒加上簡訊綁定成功才能下載之類的防範 11/26 20:03
80F:→ bitlife : 措施,於是就變成前面推文說的奇怪現象 11/26 20:03
81F:推 jerrylin : 還好我只用券商軟體下單不用手機下單 11/26 20:04
82F:→ brella : 誇張 11/26 20:04
83F:→ jerrylin : 這樣有事一定是券商要賠我錢 11/26 20:04
84F:推 Kobe5210 : 還好我老古板,習慣用電腦網頁下單... 11/26 20:09
85F:推 overhead : 但電腦一樣有被駭的機率吧xd 11/26 20:10
86F:推 shyshyan : 問題是不是有帳號密碼就能下單 還要有憑證 他怎麼 11/26 20:12
87F:→ shyshyan : 弄到憑證?或者他不用憑證就能下單? 11/26 20:12
88F:推 honeypeanut : 金管會:沒事兒沒事兒 11/26 20:13
89F:→ shyshyan : 而且帳號都是身分證 是有多少網站用身分證當帳號== 11/26 20:13
90F:推 diogofseixas: 券商的憑證是笑話啊,輸入生日即可取得 11/26 20:14
91F:推 s860134 : 手機憑證可以登入後申請: 所以我只需要帳密阿XD 11/26 20:15
92F:→ s860134 : 輸入生日還多一層保護咧 11/26 20:16
93F:推 shyshyan : 一堆人被盜帳號在差不多時間買仙股 最好是帳號被盜 11/26 20:16
94F:→ shyshyan : 那麼簡單啦== 11/26 20:16
95F:→ shyshyan : 怎麼想都是你系統被駭 被掃出一堆帳號下單好嗎 11/26 20:17
96F:→ s860134 : 很多人是因為沒開複委託所以不知道已經外洩了八.. 11/26 20:22
97F:→ s860134 : 這次都是有開複委託 11/26 20:22
98F:→ s860134 : 下次直接搞有開期貨的,弄出下一個 0206 慘案XD 11/26 20:23
99F:→ bitlife : 期貨比較沒那麼容易,因為保證金要自己主動匯款進去 11/26 20:25
100F:→ bitlife : 保證金帳戶,不像股票圈存是下單時自動被圈 11/26 20:26
101F:→ linkmusic : 這下糗了憑証也不甘三竹的事 11/26 20:54
102F:→ linkmusic : 憑証是委外哪家作的為啥元大不公布? 11/26 20:56
103F:→ nacy204327 : 該不會是ㄍㄨㄢ…… 11/26 21:00
104F:推 WhitePope : 憑證並非沒用,而是用來防止側錄和偽裝攻擊。如果沒 11/26 21:04
105F:→ WhitePope : 有憑證,駭客就可以側錄網路流量,錄下你的交易資訊 11/26 21:04
106F:→ WhitePope : 破解後,再做一個和交易app一樣的假app, 偽裝成你去 11/26 21:04
107F:→ WhitePope : 下單 11/26 21:04
108F:→ WhitePope : 注意這個差別是,app 和券商部份完全沒漏洞和過失。 11/26 21:05
109F:→ WhitePope : 駭客就可以只靠側錄完成入侵交易。這就是憑證的重要 11/26 21:05
110F:→ WhitePope : 性 11/26 21:05
111F:推 WhitePope : 說憑證沒用就像你家被小偷破窗偷入,你說:大門真沒 11/26 21:07
112F:→ WhitePope : 用,小偷從窗戶就可以進來了,不如把大門拆下來好了 11/26 21:07
113F:推 WhitePope : 其實重點在為什麼憑證那麼好取得吧?這就像你家裝了 11/26 21:11
114F:→ WhitePope : 無敵防盜門窗,但你卻把大門鑰匙放在門旁的花盆底下 11/26 21:11
115F:推 WhitePope : 增加憑證的取得認證才是應該要做的事。例如要去券 11/26 21:16
116F:→ WhitePope : 商登記手機,取得憑證時要經過OTP認證。 11/26 21:16
117F:→ tctv2002 : 我覺得下載憑證 可以多一道視訊認證 11/26 21:28
118F:→ tctv2002 : 類似網銀視訊開卡 亮身分證之類的 11/26 21:29
119F:推 stot404 : 我密碼跟身分證還有生日完全無關,可以說是一串亂碼 11/26 22:55
120F:→ stot404 : 喔0.0) 11/26 22:55
121F:→ Arpia : 看山竹這重訊,應該就不關app的事 11/26 23:34
122F:→ Arpia : 出包的券商只一直說app帳密問題,好像完全避談它發 11/26 23:34
123F:→ Arpia : 的“憑證” 11/26 23:34
124F:推 ericsg : 台灣證券的憑證就只有一家做最多啦 11/26 23:52
125F:推 Assyla : 看完這則新聞,一直懷疑其實統一是被亂拉出來的 11/27 00:17
126F:→ Assyla : 不然只有元大有問題了,就很難推給三竹 11/27 00:17
127F:推 vyvian : 就全部改用自然人憑證吧 每次交易都要插卡最安全 11/27 01:53
128F:→ llw116 : 憑證只是對下單內容做加密,後台再驗證簽文與下單 11/27 03:16
129F:→ llw116 : 內容是否符合,單純撈到憑證不一定有用,還要看簽 11/27 03:16
130F:→ llw116 : 文的格式,可能要看簽文的格式是否外洩。 11/27 03:16
131F:推 ntg123 : 哈!懂的人就知道問題出在誰了 11/27 05:42
132F:推 neil25 : 一直在討論用戶端 有人沒開複委託沒開外幣帳戶 一 11/27 09:37
133F:→ neil25 : 樣被下單 感覺是直接入侵資料庫下單的 11/27 09:37
134F:推 dunjiin : 有人沒下載行動下單也中,所以完全是憑證漏洞,無 11/27 22:27
135F:→ dunjiin : 關你用不用 11/27 22:27
136F:推 dunjiin : 回127樓,手機插卡下單,強人所難 11/27 22:31