「全國繳費網」爆無密碼驗證即可挪用他人存款,資安漏洞到底出在哪?

全國繳費網首頁。圖片截至 全國繳費網

網路付款已成為我們日常生活中的一部份,特別是近期宅經濟當道。然而「全國繳費網」近日爆出資安漏洞,根據《CTWANT》的 報導 ,有心人士掌握對方的身分證字號與銀行帳號後,就可以轉別人的帳,盜領別人的存款。

有心人士透過全國繳費網,不須密碼就可盜領存款

全國繳費網 由財金公司營運,是個整合各金融機關與政府公用事業單位,讓使用者繳費的線上帳單付款平台,日常生活中的多數款項,例如水電費等都可透過此平台繳費。

然而根據《CTWANT》的 報導 ,全國繳費網有資安漏洞,在繳納貸款的項目填上自己的銀行帳戶與繳款金額後,就算填上別人的身分證與銀行帳號也能轉帳,完全不須密碼驗證。而根據《CTWANT》的的實測,對方的帳號存款被轉出後,甚至不會收到銀行通知。

目前已有相關的盜領 案例 。犯人透過全國繳費網的漏洞,分別盜領兩位受害者 5 萬與 15 萬的存款。

問題不在財金公司,而是銀行端

由於全國繳費網是由中華民國銀行公會主導,委託財金公司設立的平台,有中央銀行轉投資;再加上服務項目廣泛,超過 1,800 家單位的繳費項目都可透過全國繳費網繳費,因此資安問題引發各方擔憂。立委曾銘宗表示,財金資訊公司的主管機關中央銀行與金管會,一定要徹底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證機制,也一定要究責。

但 PTT 網友 TonyQ 認為錯不在財金公司身上。根據 TonyQ 的 觀點 ,全國繳費網只是一個通道,負責對接繳款方與付款方,而驗證應該採取雙邊驗證的程序,轉出、轉入雙方都需要驗證身分。因此 TonyQ 認為,真正的問題是在銀行端,因為收到款項,卻沒有確認轉帳帳號的身分。

存款被盜領,是誰的系統有漏洞?

而根據《經濟日報》的 報導 ,出問題的銀行是三信商銀。三信商銀總經理邱榮賢表示,已完成電腦程式修正。此外,財金公司也立即向三信商銀了解狀況,並要求對方依據銀行公會全國性繳費業務活期性帳戶帳戶非約定繳費作業相關規定改善。財金公司表示,此為三信商銀電腦系統異常個案,其他金融機構則無類似狀況。

這世界上本來就沒有完美的資安系統,但資安機制做到什麼程度,考驗相關單位的技術能力與嚴謹程度,若銀行端有通盤考慮收匯款的驗證機制,可以避免此次的盜領發生。

參考資料來源:
1.《CTWANT》:〈【全國盜領網 1】官方繳費平台出包 無密碼免驗證挪用他人存款
2.《CTWANT》:〈【全國盜領網 4】銀行公會主導創建 涵蓋 1800 家企業繳費項目
3.《PTT》:〈[新聞]【全國盜領網 1】官方繳費平台出包 無密碼
4.《經濟日報》:〈 三信銀電腦系統 完成異常修正
5.《工商時報》:〈《金融》三信商銀繳費系統異常 財金公司:個案已修正
(本文提供合作夥伴轉載。首圖來源: 全國繳費網首頁

延伸閱讀

百位學者連署反對!一文解析數位身分證的 4 個資安疑慮
打開空白電郵可能「被駭」!iPhone、iPad 證實有資安漏洞,iOS 13.4.5 將修補漏洞
【資安爆不完】53 萬 Zoom 帳號出現在暗網上,花旗銀、摩根大通都有中


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: