推 cuteSquirrel: 最離譜的是憑證怎麼掉的 = = 11/26 18:43
推 AxelGod : 董事長總經理直接出面說了 與山竹無關 元大: 11/26 18:47
→ mioz : 每秒幾千萬上下還要OTP 這下元大要崩了 11/26 18:48
推 stlinman : 呵呵 ~ 安撫客戶說法 " 都是別人出包! " 11/26 18:48
推 gint5566 : 這個不出手 去管那個桌曆ZZ 11/26 18:49
推 BDrip : 憑證就用生日來取得的呀 生日都當密碼了 11/26 18:49
推 neo5277 : 跟我預測的一樣XDXDXDXDXDX 11/26 18:51
推 loveponpon : 三竹:欸這鍋我不要揹 你自己背 11/26 18:52
→ tinlans : OTP 其實安卓手機已經有先例可以被駭客偷了。 11/26 18:54
→ tinlans : 憑證機制其實也是台灣特產,外國只有 OTP。 11/26 18:54
→ tctv2002 : 乾脆下單 多做一個指紋認證算了xd 11/26 18:56
→ tinlans : 不可能是撞庫,一般撞庫用的帳密清單是自己取的 ID 11/26 18:56
→ tinlans : 上面講的密碼用身份證字號比較有可能,要問一下 11/26 18:57
→ tinlans : 受害人是不是都這樣設密碼。 11/26 18:57
推 neo5277 : xss 很久以後 針對性吧早上怕被告我把文都刪了XD 11/26 18:58
推 BDrip : 你提醒文都刪了 我就去備份站看了 這樣會不會被告( 11/26 19:00
推 neo5277 : 還有備份喔?我來找找 11/26 19:01
推 neo5277 : 靠真的有 但是我覺得應該89不離十 11/26 19:04
→ tinlans : xss 也要證券商有 web API 給你跨站導過去吧 11/26 19:05
→ tinlans : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行 11/26 19:05
推 wyytw : 甩鍋 11/26 19:05
→ apple123773 : 結果元大開大 說這些人的密碼都是.....XD 11/26 19:07
→ tinlans : 不過說真的如果是拿戶政外洩資料的身份證字號和生日 11/26 19:07
→ tinlans : 去撞庫的,那絕對不可能只有這兩家出事。 11/26 19:07
推 neo5277 : 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的 11/26 19:07
→ neo5277 : 然後配上有人說下單營業員看到適用行動精靈 11/26 19:08
推 Mazu323 : 的確如果只是單純的帳密~不該只有這兩家有問題 11/26 19:09
推 lolic : 全推給民眾最簡單囉 11/26 19:09
推 jerrylin : 所以就是被駭客駭了 解釋一堆幹嘛 11/26 19:10
→ tinlans : 帳密被盜這件事幾乎是肯定的,只是如新聞標題說的是 11/26 19:10
→ tinlans : 靠撞庫登入成功我覺得不可能,外面網站都是自訂 ID 11/26 19:10
→ tinlans : 很難關聯到你的身份證字號。 11/26 19:11
→ tinlans : 基本上應該至少有兩個問題存在:1. 人為流出個資 11/26 19:12
→ tinlans : 2. 後端盲信自己接收到的輸入全部合法。 11/26 19:12
推 hhhomerun : 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你 11/26 19:13
→ hhhomerun : 登入進去 想要你輸入生日也很簡單好嗎 11/26 19:13
→ hhhomerun : 都到手以後 再用行動裝置去登入和裝憑證 就下單了 11/26 19:14
→ tinlans : 不管是釣魚還是撞庫,都無法解釋只有這兩家出事啊 11/26 19:14
推 apolloapollo: 猛撞攻擊 11/26 19:15
→ hhhomerun : 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的 11/26 19:16
→ hhhomerun : 帳密去登看起來像元大的網站? 不會啊 11/26 19:16
→ tinlans : 合理 11/26 19:17
→ hhhomerun : 還是你覺得詐騙集團就是要認真為台灣50家券商都做一 11/26 19:17
噓 setsunaxia : 唬爛的,明明就資料外洩 11/26 19:17
→ hhhomerun : 個網站 顯然不會 要做就挑大的做就好 11/26 19:17
推 koibido : 是不是vip戶直接連到後台結果被駭 11/26 19:19
→ tinlans : 確實這樣是可能的,而且問受害當事人一般也很難記住 11/26 19:19
→ hhhomerun : 而且 這根本到國安層級了 券商和廠商再吵也沒意義 11/26 19:19
→ tinlans : 自己有沒有開過這種網站。但既然搜尋引擎上看不到, 11/26 19:19
→ tinlans : 那透過簡訊或電子郵件提供網址的可能性就很高, 11/26 19:20
→ hhhomerun : 我猜 以後大家手機登入下單系統 可能都要先打OTP才 11/26 19:20
→ hhhomerun : 能下單了 11/26 19:20
→ tinlans : 事後也容易跟受害人收集到共通點。 11/26 19:21
推 BDrip : 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些 11/26 19:21
→ BDrip : 單 幹嘛再增加成本( 11/26 19:21
→ tinlans : 憑證確實是一個很奇怪的東西,外國都是 OTP 而已。 11/26 19:23
→ tinlans : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度 11/26 19:24
推 now99 : 綁定手機裝置,FIDO驗證就可以了 11/26 19:24
推 pastrolia : 與之無關…?文言文嗎? 11/26 19:28
→ schula : 下單都要OTP太麻煩了吧,明明是元大自己安全性問題 11/26 19:36
推 Castle88654 : 元大週刊王踹共 11/26 19:39
推 shadow0326 : 看不懂在寫什麼 11/26 19:50
推 zxxz67 : 元大是不是金主阿 直接無視不查 11/26 19:51
→ s860134 : 手機下單憑證可以登入後申請 其實沒啥用 11/26 19:52
→ s860134 : 憑證是在證明你是這個人,但是你只要帳密就能登入 11/26 19:53
→ s860134 : 幹嘛還多一個憑證申請XD 11/26 19:53
推 pippen2002 : 踢皮球大賽囉,鬼島鬼股投資人真可憐?! 11/26 19:53
推 BDrip : 誰叫憑證申請那麼簡單( 11/26 19:54
→ s860134 : 簡單來說只要有帳密,就能下單了拉 生日都不用 11/26 19:54
→ s860134 : 我用過五家券商(第一凱基永豐鑫豐日盛)手機都是三竹 11/26 19:56
→ s860134 : 憑證都是你登入後就能申請了 11/26 19:57
→ s860134 : 所以我一直搞不懂下單要憑證幹嘛?完全沒更安全 11/26 19:57
→ overhead : 我之前就覺得登入後申請憑證邏輯很怪的,還以為是 11/26 20:01
→ overhead : 自己不懂資安,結果是真的很怪啊 11/26 20:01
→ bitlife : 憑證的用途是用來做為[不可否認],以前有陣子我印象 11/26 20:01
→ bitlife : 是要先臨櫃申請PC的,然後下載手機的必須透過PC啟動 11/26 20:02
→ bitlife : 傳到手機這個動作,等於是PC替手機做背書,可能後來很 11/26 20:02
→ bitlife : 多年輕人只用手機,而且都線上申辦不臨櫃,才放寬了這 11/26 20:02
→ bitlife : 個限制,但又沒加上簡訊綁定成功才能下載之類的防範 11/26 20:03
→ bitlife : 措施,於是就變成前面推文說的奇怪現象 11/26 20:03
推 jerrylin : 還好我只用券商軟體下單不用手機下單 11/26 20:04
→ brella : 誇張 11/26 20:04
→ jerrylin : 這樣有事一定是券商要賠我錢 11/26 20:04
推 Kobe5210 : 還好我老古板,習慣用電腦網頁下單... 11/26 20:09
推 overhead : 但電腦一樣有被駭的機率吧xd 11/26 20:10
推 shyshyan : 問題是不是有帳號密碼就能下單 還要有憑證 他怎麼 11/26 20:12
→ shyshyan : 弄到憑證?或者他不用憑證就能下單? 11/26 20:12
推 honeypeanut : 金管會:沒事兒沒事兒 11/26 20:13
→ shyshyan : 而且帳號都是身分證 是有多少網站用身分證當帳號== 11/26 20:13
推 diogofseixas: 券商的憑證是笑話啊,輸入生日即可取得 11/26 20:14
推 s860134 : 手機憑證可以登入後申請: 所以我只需要帳密阿XD 11/26 20:15
→ s860134 : 輸入生日還多一層保護咧 11/26 20:16
推 shyshyan : 一堆人被盜帳號在差不多時間買仙股 最好是帳號被盜 11/26 20:16
→ shyshyan : 那麼簡單啦== 11/26 20:16
→ shyshyan : 怎麼想都是你系統被駭 被掃出一堆帳號下單好嗎 11/26 20:17
→ s860134 : 很多人是因為沒開複委託所以不知道已經外洩了八.. 11/26 20:22
→ s860134 : 這次都是有開複委託 11/26 20:22
→ s860134 : 下次直接搞有開期貨的,弄出下一個 0206 慘案XD 11/26 20:23
→ bitlife : 期貨比較沒那麼容易,因為保證金要自己主動匯款進去 11/26 20:25
→ bitlife : 保證金帳戶,不像股票圈存是下單時自動被圈 11/26 20:26
→ linkmusic : 這下糗了憑証也不甘三竹的事 11/26 20:54
→ linkmusic : 憑証是委外哪家作的為啥元大不公布? 11/26 20:56
→ nacy204327 : 該不會是ㄍㄨㄢ…… 11/26 21:00
推 WhitePope : 憑證並非沒用,而是用來防止側錄和偽裝攻擊。如果沒 11/26 21:04
→ WhitePope : 有憑證,駭客就可以側錄網路流量,錄下你的交易資訊 11/26 21:04
→ WhitePope : 破解後,再做一個和交易app一樣的假app, 偽裝成你去 11/26 21:04
→ WhitePope : 下單 11/26 21:04
→ WhitePope : 注意這個差別是,app 和券商部份完全沒漏洞和過失。 11/26 21:05
→ WhitePope : 駭客就可以只靠側錄完成入侵交易。這就是憑證的重要 11/26 21:05
→ WhitePope : 性 11/26 21:05
推 WhitePope : 說憑證沒用就像你家被小偷破窗偷入,你說:大門真沒 11/26 21:07
→ WhitePope : 用,小偷從窗戶就可以進來了,不如把大門拆下來好了 11/26 21:07
推 WhitePope : 其實重點在為什麼憑證那麼好取得吧?這就像你家裝了 11/26 21:11
→ WhitePope : 無敵防盜門窗,但你卻把大門鑰匙放在門旁的花盆底下 11/26 21:11
推 WhitePope : 增加憑證的取得認證才是應該要做的事。例如要去券 11/26 21:16
→ WhitePope : 商登記手機,取得憑證時要經過OTP認證。 11/26 21:16
→ tctv2002 : 我覺得下載憑證 可以多一道視訊認證 11/26 21:28
→ tctv2002 : 類似網銀視訊開卡 亮身分證之類的 11/26 21:29
推 stot404 : 我密碼跟身分證還有生日完全無關,可以說是一串亂碼 11/26 22:55
→ stot404 : 喔0.0) 11/26 22:55
→ Arpia : 看山竹這重訊,應該就不關app的事 11/26 23:34
→ Arpia : 出包的券商只一直說app帳密問題,好像完全避談它發 11/26 23:34
→ Arpia : 的“憑證” 11/26 23:34
推 ericsg : 台灣證券的憑證就只有一家做最多啦 11/26 23:52
推 Assyla : 看完這則新聞,一直懷疑其實統一是被亂拉出來的 11/27 00:17
→ Assyla : 不然只有元大有問題了,就很難推給三竹 11/27 00:17
推 vyvian : 就全部改用自然人憑證吧 每次交易都要插卡最安全 11/27 01:53
→ llw116 : 憑證只是對下單內容做加密,後台再驗證簽文與下單 11/27 03:16
→ llw116 : 內容是否符合,單純撈到憑證不一定有用,還要看簽 11/27 03:16
→ llw116 : 文的格式,可能要看簽文的格式是否外洩。 11/27 03:16
推 ntg123 : 哈!懂的人就知道問題出在誰了 11/27 05:42
推 neil25 : 一直在討論用戶端 有人沒開複委託沒開外幣帳戶 一 11/27 09:37
→ neil25 : 樣被下單 感覺是直接入侵資料庫下單的 11/27 09:37
推 dunjiin : 有人沒下載行動下單也中,所以完全是憑證漏洞,無 11/27 22:27
→ dunjiin : 關你用不用 11/27 22:27
推 dunjiin : 回127樓,手機插卡下單,強人所難 11/27 22:31