【警告】疑似網路銀行小漏洞



贊助商連結


頁 : [1] 2

rdbutton
2003-11-12, 04:03 AM
該問題發生在花旗事件之前就發現了 只是這並沒有洩漏到個人全部隱私 但有洩漏到銀行存款金額

請有相關身分和帳號的網友試試吧 完全不須密碼

只要在網址列輸入

http://prodmy.taishinbank.com.tw/broker/StkActdetHtm.asp?ID=XXXXXXXXXX&Account=XXXXXXXXXXXXXX&StartDate=00920528&EndDate=00921028

ID=身分證字號 (包含第一個英文共10碼)
Account=銀行帳號(共14碼)
StartDate=00920528(起始日期)
EndDate=00921028(結束日期)
(從當日算起可查詢180天內)

資料會洩漏的因該都是下面該連結 且有使用相關網路業務 的這些客戶的資料吧

http://prodmy.taishinbank.com.tw/broker/StkActdetHtm.asp?

所以是這些身分的人試試看吧

這裡有部份文章 http://www.tw-xoops.org/modules/newbb/viewtopic.php?viewmode=flat&topic_id=1211&forum=5

贊助商連結


衫火
2003-11-12, 09:50 AM
新聞上說...花旗本來不打算處理這件事...因為那位老師很積極的去處理這件事,............過了許久花旗才派人開說明會...
現在的人...唉唉:corkysm:

mgoii
2003-11-12, 10:39 AM
不是吧~銀行泄漏客戶資料..竟不處理????
那如果有心人用來犯罪的話.........誰來保障客戶的權益?

rdbutton
2003-11-12, 12:26 PM
對阿這件事情從發現時我還打電話請他們告知他們的資訊部門處理一下

並且處理後告知我一下

到現在一點消息都沒有

所以我就再度將這個訊息公開出來

就是希望更多的用戶能自己保障自己的權利

並且不要讓這些大公司這麼不付責任

ahome
2003-11-12, 01:57 PM
現在不是法律有一條駭客相關的罪名
小心被當作駭客移送法辦

rdbutton
2003-11-12, 03:31 PM
不會吧

這樣因該不算是駭客

因該類似花旗那樣

後門有漏洞沒關好

因為他們根本沒有把加密給處理好

才會造成這個問題

我就是因為是用戶

無意中發現這個奇怪的問題就是在我根本沒登入的狀況下

怎麼資料會顯示出來

才發現這個網路銀行金額交易明細等等的問提

moderjou
2003-11-12, 11:02 PM
您就是那位老師嗎 ??

:eek:


最初由 rdbutton 發表
不會吧

這樣因該不算是駭客

因該類似花旗那樣

後門有漏洞沒關好

因為他們根本沒有把加密給處理好

才會造成這個問題

我就是因為是用戶

無意中發現這個奇怪的問題就是在我根本沒登入的狀況下

怎麼資料會顯示出來

才發現這個網路銀行金額交易明細等等的問提

dou0228
2003-11-13, 12:00 AM
最初由 moderjou 發表
您就是那位老師嗎 ??

:eek:

不管他是不是, 花旗都不能推卸責任
問題出在那位寫該頁面的人兄身上..

連基本的 METHOD = POST / GET 都沒弄好..
還有到了後端之後的檢查等等..

其實連號稱 Security 的 NetScreen UI 也是在前端做掉.
POST 之後都不做檢查的..

講到用 SSL, 還有某家使用某特別認證的不也一樣..
號稱 Security, 卻不使用 HTTPS, 使用 HTTP ;)

mgoii
2003-11-13, 12:33 AM
最初由 dou0228 發表
(恕刪)
講到用 SSL, 還有某家使用某特別認證的不也一樣..
號稱 Security, 卻不使用 HTTPS, 使用 HTTP ;)
汗~哪家??@@
太可怕了~提示一下

rdbutton
2003-11-13, 12:47 AM
這不是花旗的

我也不是那位老師

當然我也很好奇花旗的實際狀況

而小弟發現這個問題的網頁裡論上他們是有將網址列簡單的隱藏(就是不顯示)但又不是對所有的瀏覽器有用

但那個網址列不是重點

重點那根本不是解決辦法

因為根本就沒加密

難道那些資料就不算隱私嗎?

希望有相關單位能發現

糾正它們一下因為已經有一段時間了

至於哪間銀行

只要跟著那些訊息TRY一下或看一下資料很容易就會發現是哪間銀行