推 barkids : 高調然後記者幫忙追,這發展是好的,只是金管會... 02/01 06:05
→ barkids : 要真的會做事啊,永豐要不要全面檢討並強化資安啊 02/01 06:05
→ cityport : 看了一下..好多家都沒有耶..邦邦發卡量更大的說 02/01 06:27
→ cityport : 再往前翻幾年..只有花旗全部加密..前3大都沒有 02/01 06:33
→ cityport : 不過大部分時間..永豐的繳款入帳通知都有加密 02/01 06:34
→ cityport : 不認為是email加密不加密的關係..盜刷是針對永豐 02/01 06:36
→ cityport : 盜刷者信用卡基本資料都有..而且還知道都是永豐的卡 02/01 06:38
→ a7294 : 台新、國泰也有email方式 02/01 06:49
推 fairbankslin: 想想現在開始還是先暫時停止刷永豐好了 02/01 07:15
→ peter98 : 我覺得不是email的問題 02/01 07:20
→ peter98 : *不單只是email的問題 02/01 07:20
推 jmt1259 : 永豐問題很大 02/01 07:21
→ bitlife : 理論上通報被盜刷集中某一家銀行,最可能的原因不外 02/01 07:38
→ bitlife : 乎2種,1:這些持卡人其實是同一集團的人頭 2:銀行的 02/01 07:39
→ bitlife : 發送OTP流程中有環節出了問題. 通常3D驗證碼被攔截, 02/01 07:40
→ bitlife : 有種比較容易發生的可能是中了木馬,但這不太容易集 02/01 07:41
→ bitlife : 中在同一銀行 02/01 07:41
→ bitlife : 另一種相對微小的可能原因就大條了,銀行的相關資訊 02/01 07:43
→ bitlife : 系統(網站,網銀,行動銀app,信用卡app)本身就帶木馬, 02/01 07:44
→ bitlife : 不過這個可能性很小,因為駭客投資大,目前看來獲利小 02/01 07:44
→ xkp74580 : 如果直接駭Mail或OTP伺服器 再怎麼加密都沒用 02/01 07:44
→ bitlife : 不太合理. 像X大的客戶被盜買港股,那個至少獲利大多 02/01 07:45
→ bitlife : 了 02/01 07:45
→ bitlife : 直接駭Mail或OTP伺服器算是比較大工程,通常要就要幹 02/01 07:49
→ bitlife : 大票比較合理,因為想要細水長流積少成多,很快就會變 02/01 07:49
→ bitlife : 成通報人數大增串聯發聲上新聞. 我比較傾向是環節中 02/01 07:50
→ bitlife : 某處的某個內部小人物以為可以細水長流偷偷賺,比較 02/01 07:50
→ bitlife : 能解釋金額不大,通報人數目前也沒有爆炸. 從專業集 02/01 07:51
→ bitlife : 團也是要考慮時間及人力成本去思考,這人數和金額不 02/01 07:52
→ bitlife : 是很高. 專業駭客和電話詐騙型態不同,後者電話由電 02/01 07:53
→ bitlife : 腦自動撥,工作人員多數是不需技能免洗低成本,可以累 02/01 07:54
→ bitlife : 積小錢積少成多,這種電腦駭客,不太可能用長期賺小錢 02/01 07:55
→ bitlife : 的方式. 之前有次ATM吐鈔,那個就一次就要撈大的,真 02/01 07:56
→ bitlife : 人還要坐飛機人來,領了趕快跑. 越容易被察覺,就要一 02/01 07:57
→ bitlife : 次幹大票金額對駭客集團才划算 02/01 07:57
噓 p1587 : 都推給客戶就好啦 這種情況應該檢討銀行發送過程是 02/01 07:59
→ p1587 : 否有瑕疵吧 不然34個客人信箱都有問題就你永豐最倒 02/01 07:59
→ p1587 : 楣被盜刷? 02/01 07:59
→ bitlife : 我建議金管會要求銀行提供由手機行動銀行app或信用 02/01 08:01
→ bitlife : 卡app的即時簽核消費功能,由消費者直接在手機上確認 02/01 08:01
→ bitlife : 特約商店及金額,至少讓消費者有可選的選項,改用這方 02/01 08:02
→ bitlife : 式取代OTP. 經過先前銀行端的行動app盜轉通報事件, 02/01 08:03
→ bitlife : 現在的銀行手機app除錯過後比較OK,安全性來說,我認 02/01 08:04
→ bitlife : 為是比OTP高多了,改用這種方式對消費者比OTP來說,安 02/01 08:05
→ bitlife : 全性高很多 02/01 08:05
→ bitlife : 才讀到,時效比較晚,看到的人應該相對較少,所以本篇 02/01 08:07
→ bitlife : 重提一次,希望相關銀行資訊從業人員或記者看到反應 02/01 08:08
→ bitlife : 一下 02/01 08:08
推 wattswatts : 只想用line通知省成本的銀行表示。。連信用卡app沒 02/01 08:12
→ wattswatts : 有的銀行? 02/01 08:12
→ bitlife : 金管會也不用強制銀行,只要規定型化契約中只能規定 02/01 08:15
→ bemaz : 銀行都推給持卡者,但被盜刷已經知道已經知道“卡 02/01 08:16
→ bemaz : 號規則”還能知道被盜的email去裡面郵件裡面抓密碼 02/01 08:16
→ bemaz : ,如果不是一開始源頭就出問題,如何透過一大堆卡 02/01 08:16
→ bemaz : 片對應聯絡郵件信箱還能猜出信箱密碼 去裡面挖opt 02/01 08:16
→ bemaz : 密碼?倒回來如果持卡者郵件出問題,為何而且受害 02/01 08:16
→ bemaz : 都是單一銀行,持卡者可能同時其他銀行卡片一樣有 02/01 08:16
→ bemaz : 發opt郵件機制,為何同一時間只有同一家銀行卡出事 02/01 08:16
→ bemaz : ,銀行端比較有可能有漏洞沒發覺吧? 02/01 08:16
→ bitlife : 由經嚴密程序綁定專用有憑證簽核之交易才不可否認, 02/01 08:16
→ bitlife : 讓不可否認回歸有憑證介入才能主張,這樣就夠了.證券 02/01 08:17
→ bitlife : 和網路ATM N年前就這樣做了 02/01 08:17
推 wattswatts : 全面線上網站使用 Apay Spay Gpay(gmail被盜自己看 02/01 08:19
→ wattswatts : 著辦) 比較實際 02/01 08:19
→ bitlife : 在X大客戶被盜買港股事件前,沒有聽過客戶否認下單交 02/01 08:19
→ bitlife : 易,而當大量客戶短時間內都否認交易,X大一看也知道 02/01 08:20
→ bitlife : 這個大包不在客戶,就馬上轉為X竹和X大互吵一陣,很快 02/01 08:20
推 brokeback : 這些客戶的email剛好都用哪家的呢?怎麼這麼剛好都 02/01 08:21
→ brokeback : 是永豐卡友? 02/01 08:21
→ bitlife : 就推測出原因,然後就有了全台灣大量證券客戶被要求 02/01 08:21
→ bitlife : 更改密碼的事件 02/01 08:21
推 wattswatts : 盜刷常客Agoxx xlook 都啟用Apay 看成效如何不就 02/01 08:22
→ wattswatts : 知道了 02/01 08:22
→ brokeback : 答案呼之欲出 02/01 08:22
推 willieliu : 看到OTP就要推Amazon這種不用OTP的商家 保障消費者 02/01 08:25
→ bitlife : 感覺ptt真的有AI XD,跟推的內容我個人感覺有AI的味 02/01 08:25
→ bitlife : 道... Orz 02/01 08:25
→ bitlife : 我所謂AI有分機器AI和真人(虛擬)AI,至於是哪種還真 02/01 08:28
→ bitlife : 不容易判斷,並不是機器AI真的能過圖靈測試,而是有可 02/01 08:29
→ bitlife : 能人類降級成類機器的反應 XD 02/01 08:29
→ bitlife : 以上題外話,希望真的有相關真人看到反應一下意見 02/01 08:30
推 diqoedin : 永豐發信被攔截的感覺比較高 客戶會剛好用同家mail 02/01 08:32
→ yiersan : 用戶問題比較大 02/01 08:39
→ ackes : 要看是不是下面irent那個問題吧 之前聯邦也一波 02/01 08:40
→ ackes : 怕是被慢慢收割 02/01 08:40
→ yiersan : 若是銀行問題 怎麼才34位 02/01 08:43
推 geniusw : 我國泰 hsbc 台新星展有 中信土銀沒 02/01 08:43
→ jimmy0525 : 我覺得不如找有相關的金融立委去監督可能還比較有 02/01 08:56
→ jimmy0525 : 用 就像之前修改信用卡定型化契約意思一樣 比較會 02/01 08:56
→ jimmy0525 : 有實質的動作 02/01 08:56
推 Athanasius : 看了去檢查自己的信用卡對帳單,發現... 02/01 09:07
推 ckkaze : 給高調推,銀行內部要不要查查,發MAIL的系統有沒 02/01 09:09
→ Athanasius : 加密的有:玉山/台新 未加密的有:富邦/兆豐 02/01 09:09
→ ckkaze : 有異常人員連入,發送LOG有沒有外洩風險.. 02/01 09:10
→ Athanasius : 如果真的是原po所說的,信件傳送過程未加密 02/01 09:11
→ Athanasius : 這篇應該高調,另外其他未加密銀行的卡友也注意一下 02/01 09:11
→ peterkan : 電腦被駭,可是怎麼知道卡號、安全碼? 02/01 09:12
→ chinaeatshit: 玉山發過好幾張神卡 同樣也是傳mail跟手機 卻沒 02/01 09:20
→ chinaeatshit: 人在意 02/01 09:20
推 mike0608 : 我看了一下 很多家都沒有加密 02/01 09:23
推 Enota : 我看富邦OTP的有加密耶 還是不同封?? 02/01 09:24
推 Enota : 電子帳單的部份 沒有加密,但帳單本身PDF有加密 02/01 09:26
推 Athanasius : 抱歉,我是看電子帳單的部分,OTP信件我都砍了 02/01 09:34
→ Athanasius : 之後會確認 02/01 09:34
→ vyvian : 如果金管會認為是email傳送OTP出問題,應該要有證據 02/01 09:39
→ vyvian : 華南的OTP郵電通知也是沒加密 卻只有永豐出事? 02/01 09:46
推 StupidArt : 我沒同步email,但還是被盜刷 02/01 09:51
→ bitlife : 我前面說集中一家有兩種可能,正常邏輯上來說,全是人 02/01 09:53
→ bitlife : 頭的機會也是很低,原因是一般消費者有意謊報(自刷假 02/01 09:54
→ bitlife : 裝成被盜),通常是個人行為,集體的人頭基本上腦袋正 02/01 09:54
→ bitlife : 常不至於去自己曝光自家的集體盜刷行為. 不過以上是 02/01 09:55
推 QQ5566 : 講Ai 直接回文呀 02/01 09:56
→ bitlife : 正常人腦,當然是無法不能排除一群人集體智商低下,只 02/01 09:56
→ bitlife : 是機率很低 02/01 09:56
→ bitlife : 提AI的好像只有我,我不是針對在我發該AI推之後的推 02/01 09:57
→ bitlife : 文,也說過是題外話,可以忽略了 02/01 09:57
→ ornv : 才34而已嗎 02/01 10:26
→ gn00273680 : 其實不管是email或簡訊OTP都有被攔截風險,但這風險 02/01 10:36
→ mnhyuiop : 有OTP機制錢還能被拿走,未來就直接轉走我戶頭的錢 02/01 10:37
→ gn00273680 : 銀行接受,所以才有監管機制!改成用產生認證碼方式 02/01 10:38
→ gn00273680 : 當然也可以~問題是一家銀行就一個嗎?那也太麻煩了 02/01 10:38
→ bitlife : 應該是每發卡機構一個,但是發卡機管金管會管不太到, 02/01 10:40
→ bitlife : 比較可行是幾大家去聯合發卡機構,最後形成像台灣行 02/01 10:40
→ bitlife : 動支付那樣,一個聯合推出的app可以同時使用多家銀行 02/01 10:41
→ Ken52039 : 傳email超北七,每次都想說有簡訊就好,結果還要去 02/01 10:41
→ Ken52039 : 刪mail,煩死 02/01 10:41
→ bitlife : 傳email是簡訊有收訊死角,人在國外或行動通訊死角還 02/01 10:42
→ bitlife : 能靠email網路消費刷卡 02/01 10:42
→ bitlife : 行動通訊死角當然要靠wifi收訊,補充解釋一下 02/01 10:43
→ gn00273680 : 聯合推出共用那是更不可行,一死=全死 02/01 10:44
→ mnhyuiop : 當你在國外旅行時,就感謝有傳EMAIL的銀行有多好 02/01 10:44
推 sebu : 發簡訊有簡訊費的成本,發mail沒有XD 02/01 10:44
→ gn00273680 : email, 簡訊一般是可以選擇的 02/01 10:44
推 PopeVic : 竟然有銀行未加密寄送驗證碼的郵件,真的是驚呆了 02/01 10:45
→ PopeVic : … 02/01 10:45
→ bitlife : 這倒不一定,app可以根據卡是哪家銀行,直接與該銀行 02/01 10:45
→ bitlife : 交換資訊,而不是只靠一個單一主資料中心. 只剩app本 02/01 10:46
→ bitlife : 身是否有安全漏洞的問題,不過這問題本質和Windows, 02/01 10:46
→ bitlife : android,iOS有漏洞類似,就是少數寡占軟體本來就要特 02/01 10:47
→ bitlife : 別重視資安 02/01 10:47
→ baby79080000: 發了一篇在樓上,有沒有可能綁定irent 02/01 10:50
→ bitlife : 我有回覆,是有可能,但是要符合不少條件.主要是email 02/01 10:51
推 jillmax : 不知道可否OTP動態密碼+自設固定密碼xxxxxxoooo這 02/01 10:52
→ jillmax : 樣增加安全性 02/01 10:52
→ bitlife : 收了木馬後中毒,然後其他家銀行也有受害者.另外未用 02/01 10:52
→ bitlife : irent者也能找出合理解釋(以上針對被OTP盜刷) 02/01 10:53
→ bitlife : 事實上資安已經像實體戰爭武器操作者一樣技術要求越 02/01 10:55
→ bitlife : 來越高,統一app其實某種程度不是壞事,這表示所有銀 02/01 10:55
→ bitlife : 行聯合關注分析檢視一個app的安全性,而不是各家力量 02/01 10:55
→ bitlife : 分散各搞各的. 駭客集團的武力值基本上超過銀行資訊 02/01 10:56
→ bitlife : 中心的一般非資安工程師,像OS或瀏覽器漏洞,谷歌微軟 02/01 10:57
→ gn00273680 : 可以OTP+自設密碼~那個密碼不能跟其他的重複... 02/01 10:58
→ bitlife : 蘋果這些大咖都不能完全避免,小家銀行又外包,成本高 02/01 10:58
→ bitlife : 滯礙難行不提,戰鬥力先輸一半 02/01 10:58
→ bitlife : 如果有銀行堅持要自行開發client端,也是可以考慮入 02/01 11:00
→ bitlife : 網站方案,使用者只要先下載統一入口app,遇到該家銀 02/01 11:00
→ bitlife : 行卡就會提示先下載特定app,直接幫客戶跳store下載 02/01 11:01
→ bitlife : 頁 02/01 11:01
→ bitlife : 更正上面漏字及錯誤,應該是入口app方案 02/01 11:01
→ pippen2002 : 筆記ing~~~ 02/01 11:12
→ pippen2002 : 永豐不是小銀行耶~~超大!! 02/01 11:13
→ bitlife : 我的小銀行又外包沒有針對任何一家,我的意思是台灣 02/01 11:28
→ bitlife : 的銀行都是小銀行... XD 02/01 11:28
→ bitlife : 光看人數就是小銀行,而你的駭客敵人有世界交流協會 02/01 11:29
→ bitlife : 要當他合理的對手至少也要發卡組織,G家,M家,A家才合 02/01 11:29
→ bitlife : 理,這樣說其實不過分 02/01 11:30
推 mooto : 重新定義小額 02/01 11:57
→ marlonlai : 如果金管會確定是email問題的話 那大概就是客戶信箱 02/01 12:00
→ marlonlai : cookie被盜了 只能說不要亂點釣魚網站或下載來路不 02/01 12:01
→ marlonlai : 明的軟體 02/01 12:01
→ marlonlai : 不過會被盜特定一家的情況 也代表永豐有資料外洩了 02/01 12:02
推 doubtess : 其實有一些app或手機也有風險...我之前用悠xx的ap 02/01 12:09
→ doubtess : p綁定交通卡,想說可以即時餘額多少,結果某天 02/01 12:09
→ doubtess : 我的帳號就被登出...登不進去自己的帳號,app還 02/01 12:09
→ doubtess : 會連到附近陌生人的聯名信用卡,上面赤裸的展現陌生 02/01 12:09
→ doubtess : 人的卡號==,我覺得超噁。後來和app的客服跟工程師 02/01 12:10
→ doubtess : 溝通更新app後才回歸正常... 02/01 12:10
推 bring777 : 永豐資安沒人? 02/01 12:25
推 tonyian : 永豐的資訊系統就是小銀行阿,真以為銀行只看交易 02/01 13:13
→ tonyian : 額比大小的嗎? 02/01 13:13
推 ysy2003 : 扯欸 這真的是金融機構? 02/01 14:05
→ bst788 : 人頭個鬼,我就是這次春節被盜刷的1/34啊== 02/01 17:38
推 IOUIOUIOU : 手上的永豐只有很久沒用的保倍卡,之前就轉到pi卡扣 02/01 18:28
→ IOUIOUIOU : 繳了,這次趁機直接打客服剪卡,連慰留都懶XD 02/01 18:28
→ dantes1013 : 新聞裡,銀行端的說法,是"客戶"的信箱被駭 02/01 18:55
→ dantes1013 : 持續否認銀行端的責任 02/01 18:55
→ dantes1013 : 這個說法根本不能解釋"集中一家"的情況 02/01 18:56
→ dantes1013 : 猜銀行端被駭的可能性比較高 02/01 18:56
推 sooler : 好巧喔就剛好都永豐客戶被駭 02/02 01:24
推 leoz69927 : 就銀行端認證機制被駭這麼簡單 02/02 09:51
推 zoe11288338 : 跟irent應該無關,他信用卡資訊都是加密保護的,聲 02/02 14:18
→ zoe11288338 : 明有說到 02/02 14:18
推 meowlike : 明碼傳輸... 這太扯了 跟裸奔一樣 02/02 19:52
→ onlypurple : 還好已剪卡 02/03 16:57
→ RELIC : 板上/不到bondee的文章 04/07 13:00