※ [本文轉錄自 Gossiping 看板 #1Ui1ETFI ]
作者: stre1654 (青笠) 看板: Gossiping
標題: [新聞] 【全國盜領網1】官方繳費平台出包 無密碼
時間: Mon May 4 21:07:39 2020
1.媒體來源:
CTWANT
2.記者署名:
謝東明
3.完整新聞標題:
【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款
【全國盜領網2】掌握身分證銀行帳號 別人幫你繳房貸
【全國盜領網3】手機就可登錄操作 存款遭清空都不知道
【全國盜領網4】銀行公會主導創建 涵蓋1800家企業繳費項目
4.完整新聞內文:
為了節省時間,也為了避免在公司、住家與銀行間四處奔波,許多民眾都會透過網路付費
平台,繳交例如水費、電費、信用卡費、小孩學費,甚至銀行貸款等生活支出。
但由財金資訊公司營運的「全國繳費網」,卻爆出重大資安漏洞,只要有心人掌握了個人
身分證字號與銀行帳號,就能在手指與滑鼠間游移,三十秒內無聲無息的讓帳戶存款乾坤
大挪移。
現代宅經濟,讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家
事業單位的「全國繳費網」,卻爆出重大資安危機。有讀者爆料,在「繳納貸款」的項目
裏,填上自己的銀行帳戶號碼與繳款金額後,就算填上他人的身分證字號與銀行帳號,不
須密碼不須驗證,也能輕鬆轉帳,盜領他人的存款。
由中華民國銀行公會主導,委託財金資訊公司,整合各金融機關與政府公用事業單位,設
立的「全國繳費網」,原本是一個可以讓民眾,在任何時間、任何地點,就能繳納各項費
用的線上帳單付款服務平台,各種生活支出,幾乎都能在網路平台上一指搞定。
本刊調查,儘管填寫資料時,欄目旁也有「使用活期性存款帳戶(不須讀卡機,且只能繳
本人帳單)」的警語。但填寫完資料,儘管繳費方與轉帳方不一樣,帳戶裏的存款仍然成
功被轉走,民眾帳戶款項轉出後,甚至也不會接獲銀行通知,在毫不知情下,存款就不見
了,令人覺得十分驚悚。
便利民眾繳納各種生活支出的「全國繳費網」,可能已成為詐欺集團犯案的工具。本刊調
查,其實今年已有案例,小君(化名)自爆,今年三月間接獲警方通知,銀行存款疑遭盜
領,一度還以為是詐騙電話,但刷卡查證後,帳戶裏真的少了五萬元,讓她嚇了一跳。
警方深入追查,嫌犯是一名無業的二十六歲賴姓男子,透過他的銀行來往紀錄,發現竟還
有另外一名被害人,也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱,盜領存
款的方法,就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了,甚至
還不知不覺。
警方調查,賴嫌自稱在操作全國繳費網時,意外發現系統裏的「誤區」,在繳納貸款時,
竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網」竟出現了資
安漏洞。更在發現經營房仲業的哥哥,將客戶資料帶回家整理時,突然產生了犯案的念頭
。
賴男趁機從中抄下多名客戶資料,再利用抄下的身分證字號和金融帳戶,替自己「還債」
。食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要
透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳
費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。
所以,賴男除了偷走了小君的五萬元,也分三次「移出」了新北市林姓女子的十五萬元存
款。目前警方已深入追查,是否還有其他被害人。
財金公司營運的「全國繳費網」爆發資安漏洞,本刊記者實測電腦版「全國繳費網」,真
的只要掌握別人的身分證字號,就能利用別人的銀行帳號,轉走帳戶裏的錢。而且帳戶款
項遭轉出後,也沒有接獲銀行通知,尤其,「全國繳費網」也有手機版,只要登錄就可操
作,讓人覺得十分擔憂。
本刊記者實測,登入「全國繳費網」後,在繳納信用卡費或eTag國道電子收費儲值、停車
費等項目時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編
號錯誤」的訊息。確實,只能繳交本人帳單。
不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁
填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示出交易成功;本刊記者
接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無
聲無息地把別人的存款轉到自己的帳戶償還貸款。
此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明
「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。
記者向財金公司求證,財金公司表示,已立即向接收非本人帳款的銀行進行瞭解並要求立
刻改善,應該只是單一銀行電腦作業疏失,會通函金融機構檢視相關作業,以確保消費者
權益。
財政部及公、民營金融機構共同出資,籌設的「財金資訊股份有限公司」,原本是財政部
於西元一九八四年以任務編組方式,成立的「金融資訊規劃設計小組,到了一九九八年,
報奉行政院核定,這才改制為公司組織。
「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站,由財金公司負
責營運維修,可提供民眾即時網上繳費的跨行服務,到了二○一四年更推出手機APP,讓
民眾可以隨時隨地上網繳費。
財金公司目前有董事會十五席,代表中央銀行的公股就有十一席,民股則有四席,監察人
則有五席,都由國內各銀行代表出任。包括自動化服務機器共用,也就是所謂的自動提款
機,例如提款、繳費、轉帳、餘額查詢等跨行服務,行動支付「台灣pay」等,都是財金
公司重要營運項目之一。
至於「全國繳費網」,原為由銀行公會主導建置的示範性網站,結合金融機構及事業單位
,初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務,二○○五年七月,「全國
繳費網」正式上線。之後,服務項目越來越多,到了二○一四年,推出手機版的「全國繳
費網APP」,民眾可隨時隨地上網繳費。
財金資訊公司結合其他公用事業單位,整合自動化繳款通路,讓「全國繳費網」的服務範
圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。手機版上線後,民眾就可透過手機查
詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。
「全國繳費網」至今服務項目,已有十二大項、三十八種費用項目,包括了三十二家金融
機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三
百一十四家學雜費等,超過了一千八百家事業單位的繳費項目,為國內最多樣化的繳費網
站。
立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現
那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹
底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證
機制,也一定要究責。」
5.完整新聞連結 (或短網址):
https://www.ctwant.com/article/48972
https://www.ctwant.com/article/48973
https://www.ctwant.com/article/48974
https://www.ctwant.com/article/48975
6.備註:
今天資安新聞真多
--
作者: stre1654 (青笠) 看板: Gossiping
標題: [新聞] 【全國盜領網1】官方繳費平台出包 無密碼
時間: Mon May 4 21:07:39 2020
1.媒體來源:
CTWANT
2.記者署名:
謝東明
3.完整新聞標題:
【全國盜領網1】官方繳費平台出包 無密碼免驗證挪用他人存款
【全國盜領網2】掌握身分證銀行帳號 別人幫你繳房貸
【全國盜領網3】手機就可登錄操作 存款遭清空都不知道
【全國盜領網4】銀行公會主導創建 涵蓋1800家企業繳費項目
4.完整新聞內文:
為了節省時間,也為了避免在公司、住家與銀行間四處奔波,許多民眾都會透過網路付費
平台,繳交例如水費、電費、信用卡費、小孩學費,甚至銀行貸款等生活支出。
但由財金資訊公司營運的「全國繳費網」,卻爆出重大資安漏洞,只要有心人掌握了個人
身分證字號與銀行帳號,就能在手指與滑鼠間游移,三十秒內無聲無息的讓帳戶存款乾坤
大挪移。
現代宅經濟,讓網路線上交易機制成了生活不可或缺的一環。但服務項目超過一千八百家
事業單位的「全國繳費網」,卻爆出重大資安危機。有讀者爆料,在「繳納貸款」的項目
裏,填上自己的銀行帳戶號碼與繳款金額後,就算填上他人的身分證字號與銀行帳號,不
須密碼不須驗證,也能輕鬆轉帳,盜領他人的存款。
由中華民國銀行公會主導,委託財金資訊公司,整合各金融機關與政府公用事業單位,設
立的「全國繳費網」,原本是一個可以讓民眾,在任何時間、任何地點,就能繳納各項費
用的線上帳單付款服務平台,各種生活支出,幾乎都能在網路平台上一指搞定。
本刊調查,儘管填寫資料時,欄目旁也有「使用活期性存款帳戶(不須讀卡機,且只能繳
本人帳單)」的警語。但填寫完資料,儘管繳費方與轉帳方不一樣,帳戶裏的存款仍然成
功被轉走,民眾帳戶款項轉出後,甚至也不會接獲銀行通知,在毫不知情下,存款就不見
了,令人覺得十分驚悚。
便利民眾繳納各種生活支出的「全國繳費網」,可能已成為詐欺集團犯案的工具。本刊調
查,其實今年已有案例,小君(化名)自爆,今年三月間接獲警方通知,銀行存款疑遭盜
領,一度還以為是詐騙電話,但刷卡查證後,帳戶裏真的少了五萬元,讓她嚇了一跳。
警方深入追查,嫌犯是一名無業的二十六歲賴姓男子,透過他的銀行來往紀錄,發現竟還
有另外一名被害人,也在三月間分三次被盜領了約十五萬餘元。賴男在警局供稱,盜領存
款的方法,就是透過「全國繳費網」的「繳納貸款」欄目。而被害人存款被盜領了,甚至
還不知不覺。
警方調查,賴嫌自稱在操作全國繳費網時,意外發現系統裏的「誤區」,在繳納貸款時,
竟然可以透過他人的帳戶幫自己繳費。發現已成立近十六年的「全國繳費網」竟出現了資
安漏洞。更在發現經營房仲業的哥哥,將客戶資料帶回家整理時,突然產生了犯案的念頭
。
賴男趁機從中抄下多名客戶資料,再利用抄下的身分證字號和金融帳戶,替自己「還債」
。食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要
透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳
費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。
所以,賴男除了偷走了小君的五萬元,也分三次「移出」了新北市林姓女子的十五萬元存
款。目前警方已深入追查,是否還有其他被害人。
財金公司營運的「全國繳費網」爆發資安漏洞,本刊記者實測電腦版「全國繳費網」,真
的只要掌握別人的身分證字號,就能利用別人的銀行帳號,轉走帳戶裏的錢。而且帳戶款
項遭轉出後,也沒有接獲銀行通知,尤其,「全國繳費網」也有手機版,只要登錄就可操
作,讓人覺得十分擔憂。
本刊記者實測,登入「全國繳費網」後,在繳納信用卡費或eTag國道電子收費儲值、停車
費等項目時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編
號錯誤」的訊息。確實,只能繳交本人帳單。
不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁
填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示出交易成功;本刊記者
接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無
聲無息地把別人的存款轉到自己的帳戶償還貸款。
此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明
「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。
記者向財金公司求證,財金公司表示,已立即向接收非本人帳款的銀行進行瞭解並要求立
刻改善,應該只是單一銀行電腦作業疏失,會通函金融機構檢視相關作業,以確保消費者
權益。
財政部及公、民營金融機構共同出資,籌設的「財金資訊股份有限公司」,原本是財政部
於西元一九八四年以任務編組方式,成立的「金融資訊規劃設計小組,到了一九九八年,
報奉行政院核定,這才改制為公司組織。
「全國繳費網」則是西元二○○四年九月由銀行公會主導建置示範性網站,由財金公司負
責營運維修,可提供民眾即時網上繳費的跨行服務,到了二○一四年更推出手機APP,讓
民眾可以隨時隨地上網繳費。
財金公司目前有董事會十五席,代表中央銀行的公股就有十一席,民股則有四席,監察人
則有五席,都由國內各銀行代表出任。包括自動化服務機器共用,也就是所謂的自動提款
機,例如提款、繳費、轉帳、餘額查詢等跨行服務,行動支付「台灣pay」等,都是財金
公司重要營運項目之一。
至於「全國繳費網」,原為由銀行公會主導建置的示範性網站,結合金融機構及事業單位
,初期提供水、電、瓦斯等多項公共事業費用的上網繳費服務,二○○五年七月,「全國
繳費網」正式上線。之後,服務項目越來越多,到了二○一四年,推出手機版的「全國繳
費網APP」,民眾可隨時隨地上網繳費。
財金資訊公司結合其他公用事業單位,整合自動化繳款通路,讓「全國繳費網」的服務範
圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。手機版上線後,民眾就可透過手機查
詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。
「全國繳費網」至今服務項目,已有十二大項、三十八種費用項目,包括了三十二家金融
機構的信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費、三
百一十四家學雜費等,超過了一千八百家事業單位的繳費項目,為國內最多樣化的繳費網
站。
立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現
那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹
底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證
機制,也一定要究責。」
5.完整新聞連結 (或短網址):
https://www.ctwant.com/article/48972
https://www.ctwant.com/article/48973
https://www.ctwant.com/article/48974
https://www.ctwant.com/article/48975
6.備註:
今天資安新聞真多
--
All Comments