[問題] 麻布使用海外IP登入網銀？

作者inthepeace (peace)

看板Bank_Service

標題[問題] 麻布使用海外IP登入網銀？

時間Fri Dec 3 09:17:56 2021

今天早上發現我的中信玉山永豐聯邦被登入網頁版銀行，其中玉山顯示非台灣IP異常登入，嚇得我馬上改密碼。後來想一下，這幾個帳戶之前有拿來試用看看麻布記帳，登入一看果然如此我覺得有疑慮的點是，為何會使用海外IP登入？總覺得這樣風險太高了吧還有我以為在我登入按同步才會登入我的網銀查詢，結果居然會自動同步，如果忘了這件事，很容易讓人以為是被盜… 像我今天這樣所以記帳還是自己勤奮點就好… 以防真的被盜，還以為是麻布正常登入，錯失救帳號的黃金時間目前已全部改密碼，並且刪除App，提供各位參考今日玉山異常登入 https://i.imgur.com/oQKm70j.png

永豐聯邦中信也有登入通知 https://i.imgur.com/lZDbUIF.png

https://i.imgur.com/DL3rd5F.png

https://i.imgur.com/846G04x.png

查詢麻布，確實是麻布登的(已改密碼，所以登入失敗） https://i.imgur.com/bDuImRC.png

-----閱讀完以下發文提示，可刪除此行及以下內容--------- 薪轉戶、銀行免手續費次數等，請直接問公司會計/分行經辦問者直接刪文依板規10，發文請至少三行滿50字，違者刪文累犯水桶一個月。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.217.86 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1638494278.A.881.html

→ temu2015: 你沒有買自動同步嗎 12/03 09:21

→ GGMouseKing: 因為伺服器用GCP吧 12/03 09:22

→ temu2015: http://i.imgur.com/Dq6aDr3.jpg 麻布目前有免費一周同 12/03 09:24

→ temu2015: 步一次，不知您是否曾經設定該功能？麻布登入紀錄可以到 12/03 09:24

→ temu2015: 通知區比對麻布的登入時間。 12/03 09:24

→ kkkk1234: ip 問題麻布有寫 https://bit.ly/3plK1Oy 12/03 09:26

→ kkkk1234: 現在每週免費一次自動同步 12/03 09:26

→ kkkk1234: https://i.imgur.com/hb1oO9h.png 12/03 09:26

→ temu2015: https://reurl.cc/xEVA9Z 12/03 09:27

→ inthepeace: 自動同步要買喔？！這我就不太知道了，因為我試用完之 12/03 09:27

→ inthepeace: 後，沒辦法完整覆蓋我全部的銀行跟投資，還不如我自己 12/03 09:27

→ inthepeace: 記。所以後來就沒繼續研究了 12/03 09:27

→ temu2015: 目前連保險加密貨幣TD都有了 12/03 09:28

→ temu2015: 你這樣只是刪APP而已，下周如果自動同步你會收到一堆登 12/03 09:55

→ temu2015: 入錯誤的通知。應該要移除帳號退出會員。 12/03 09:55

→ inthepeace: 感謝回覆，我目前已經將自動同步關閉，並且刪除帳號了 12/03 10:00

推 abccbaandy: 在意風險還用麻布... 12/03 11:04

推 shangclock: 每天固定時間自動更新，然後每天去Mail刪警告信，最主 12/03 11:23

→ shangclock: 要的帳戶沒綁，其他有信用卡跟貸款的都綁，覺得不錯痾 12/03 11:23

→ shangclock: 自己記得特定時段會有幾封警告信就好 12/03 11:24

推 gottsuan: 自願把帳號密碼給第三方程式代理登入網銀的會在意風險? 12/03 11:45

推 now99: 有合規open bank不合作，還繼續爬蟲 12/03 11:53

噓 tornado1621: 脫褲子放屁笑死 12/03 11:58

噓 BNYMellon: 要打網銀帳密然後還要花錢，這種App我才不用 12/03 12:05

→ temu2015: 目前只有TD是授權同步其他還是代理然後不一定要付費 12/03 12:22

推 p1234891: 麻布我自己也有在用金管會有監管應該是不用怕但會有 12/03 15:12

→ p1234891: 疑慮的還是不要用好了 12/03 15:12

推 HMKRL: 就是GCP開在海外而已這樣伺服器比較便宜 12/03 16:57

推 shangclock: 其實是不用花錢也能自動更新，只是不想它倒才付費 12/03 17:05

推 Lomonosov: 那些ip你去查全部都是GCP的啦 12/03 17:17

→ Lomonosov: 這app現階段就是給有能力自己評估風險的人用的 12/03 17:18

→ Lomonosov: 我是綁銀行不綁證券供參考 12/03 17:26

噓 Noobungas: app需要更新的地方還很多 12/03 20:43

噓 Noobungas: 帳戶互轉錢就不會分類，真笨 12/03 20:47

推 now99: 沒法規時候去爬蟲還說的過,有法規了還爬蟲?挑戰安控基準? 12/03 21:10

→ temu2015: 要是麻布有什麼重大違法缺失早就被釘到死了哪能活到現 12/03 21:29

→ temu2015: 在 12/03 21:29

→ prussian: 哪個安控基準有限制這個? 12/03 21:38

→ tomap41017: 銀行API真的能用？呵 12/04 00:18

推 BNYMellon: 安全？要輸入的密碼都不安全好嗎。而且資料放在國外， 12/04 00:20

→ BNYMellon: 是要叫人怎麼安心？ 12/04 00:20

→ BNYMellon: 金管會有規定喔，本土落地的金融機構，用戶資料必須放 12/04 00:23

→ BNYMellon: 在國內，ㄤ 12/04 00:23

推 dryob: GCP有台灣機房啊只是有時候IP會被判定成美國 12/04 01:52

推 shaoleo: 放心吧，沒出事以前都是安全的... 12/04 02:38

→ temu2015: 人家資料放在彰濱資料中心啊…… 12/04 08:57

→ temu2015: 看一下kkkk1234附的連結 12/04 08:58

→ sggs: 你以為網銀密碼權限很大嗎xd反正怕就不要用 12/04 09:12

噓 dip987: 刪掉最好，不懂就別碰 12/04 09:47

→ Ted11: 目前為止，我是覺得蠻方便的，持續使用中。 12/04 12:35

→ tino9808: 大驚小怪 12/04 15:38

→ Beah: 網銀帳密給外人知道也只能轉約轉是會怎樣？ 12/05 00:40

推 BNYMellon: 很多銀行只要密碼就可以換匯、買基金、綁ApplePay 12/05 01:31

推 whocare96: 樓上綁Apple pay 都還要卡號跟otp 認證吧 12/05 02:08

→ BNYMellon: 樓上，直接從網銀內綁ApplePay不需要卡號和OTP。 12/05 05:55

→ temu2015: 請問電腦網頁版網銀可以綁AP嗎 12/05 06:24

推 whocare96: 想請問樓上上是哪間網銀，我用過玉山app加apple pay， 12/05 08:52

→ whocare96: 不用卡號但一定要otp ，金管會對重要交易都會要求兩項 12/05 08:52

→ whocare96: 以上安控，不太可能只靠認證密碼就做完綁定交易 12/05 08:52

→ temu2015: 麻布爬的是網頁版，網頁版做不到的事情麻布都做不到。 12/05 09:34

推 Lomonosov: @now99 可以給一下是哪一部法在規範這些東西嗎？ 12/05 11:19

→ BNYMellon: 國泰不用OTP可以直接綁ApplePay 12/05 12:32

→ BNYMellon: 聯邦甚至只要密碼就能知道虛擬卡的所有資訊 12/05 12:32

推 whocare96: 剛剛試了國泰的，進入app要先綁fido 認證，要驗證手機 12/05 12:41

→ whocare96: 號碼，只有網銀帳號密碼無法達成直接綁定Apple pay 12/05 12:41

→ whocare96: L大，法規是電子銀行安控基準 12/05 12:47

→ pippen2002: 所以到底是甚麼?? 亂七八糟? 12/05 13:43

→ temu2015: 樓上到底要問什麼？ 12/05 13:44

→ go1717: 死都不用類似的東西很明顯有資安問題差在會不會爆而已 12/05 14:17

→ brandon0610: 大驚小怪麻布的資安標準很高阿 12/05 15:56

→ go1717: 我的資安標準更高^^ 有外洩風險即使以前沒出過包也一律 12/05 16:24

→ go1717: 不使用 12/05 16:24

→ temu2015: 有什麼東西是零風險的嗎？或大或小吧 12/05 16:26

→ whocare96: 麻布通過的資安檢測是L2等級的，與 12/05 16:51

→ whocare96: 目前多數銀行通過的等級相同，所以 12/05 16:51

→ whocare96: 如果要避免風險，樓上上應該也要停 12/05 16:51

→ whocare96: 止使用所有銀行的app 吧 12/05 16:51

→ assa4451: 溫馨提醒，麻布不是金管會的管轄…..出事不要找金管會 12/05 17:07

→ assa4451: 喔！因為帳密是使用者自願給的！也不要期待銀行負責， 12/05 17:07

→ assa4451: 因為國內銀行目前沒有一家銀行有跟麻布合作～自己資料 12/05 17:07

→ assa4451: 自己負責 12/05 17:07

→ temu2015: 說沒有合作就過頭了，只是沒有合作帳務API而已 12/05 17:13

→ go1717: 我的使用者代號跟密碼是使用最高等級：全部不一樣沒有 12/05 19:17

→ go1717: 規則可言光是帳號.代號.密碼都不同就可以規避很多風險 12/05 19:17

→ go1717: 你先注意你的帳密有沒有重複使用吧^^ 12/05 19:17

推 CJhang: 麻布需要給金管會查嗎？ 12/05 19:48

→ assa4451: 它不是金融機構，沒有像銀行一樣每年定期查 12/05 22:34

→ yoyo930021: IP 理論上不能知道在哪裡 12/06 00:36

→ yoyo930021: 只是有資料庫去紀錄大概分去那個區域 12/06 00:36

→ yoyo930021: GCP 台灣的 IP 也經常被某些資料庫分到美國去 12/06 00:36

→ yoyo930021: 才被當海外 12/06 00:36

→ Lomonosov: 感謝提供~ 12/06 09:36

推 Or3: 不然有合作甚麼? 12/06 10:42

推 temu2015: https://reurl.cc/WX9ynZ 外幣匯率和定存利息 12/06 10:49

→ temu2015: ISO27001好像每年要查三年要重審，APP L2的部分有沒有 12/06 11:06

→ temu2015: 期限我不清楚。 12/06 11:06

推 sana113821: 我OK 你先刪 12/06 17:19

推 Kazamatsuri: 反正怕的就不要用就好啦～科科 12/06 19:49

→ go1717: 資安觀念首重：分散風險而不是L2等級好棒棒世界無敵強 12/07 11:10

→ go1717: 這是哪門子的資安觀念？即使安全等級再高我都不會視為零 12/07 11:10

→ go1717: 風險帳號密碼都不一樣的分散風險你辦到了嗎？ 12/07 11:10

→ go1717: 在不知道對方帳號的前提下你必須承認帳號也是另一道密碼 12/07 11:15

→ assa4451: 我同意樓上，帳密的提供與否以及密碼不要用相同的，都 12/07 13:07

→ assa4451: 是在分散風險。提供所有帳密在同一個機構我認為是集中 12/07 13:07

→ assa4451: 風險，不過老話，自己的資料要自己保護 12/07 13:07

→ go1717: 補充銀行app是自己本身提供的登入方式而這類app是過一 12/11 22:33

→ go1717: 手登入「過一手登入」本身就有資安問題給心臟大或是麻 12/11 22:33

→ go1717: 木的人去用就好以後會不會爆只有天知道 12/11 22:33