將來銀行網銀轉帳出包 - 銀行

昨天將來的某個自稱副理還是誰的打給我，討論這個問題的相關可能性，剛好我也

有一點點資訊底，大概跟他詢問一下，他說他從後台來看，整個動作確實都是做了

兩次，所以對系統來說，他就是兩筆成功的轉帳無誤。

但我提出的質疑是，如果前端APP這邊有誤，送出了兩筆request，是否在系統上

看起來就會呈現這樣的狀況呢？我認為合理的一個金融交易應該有session的建立

同一時間應該驗證只能有一個session的建立，很顯然將來在登入的機制上有做這

樣的機制(兩個裝置同時登入時，前登入的裝置會被踢除斷線)，但在轉帳的這個

動作似乎就沒有把這樣的機制建立起來。而是單純的app這邊驗證完後，就把reqeust

送去給他們後台系統了，所以只要後臺系統收到兩筆看似合理重複的request就會

轉帳兩筆金額出去。

希望將來能趕快把這個漏洞補起來了，反覆的測試一下，大概抓到了bug的發動點

https://youtu.be/2tisdk2thAI

我依稀有一個印象是當時轉帳的時候，剛好公司的teams對話跳出來，我點去看了

一下，跟我沒關係就跳回原頁面繼續轉帳了，果然看起來問題就是出在這個跳出

去的時間點，如果在啟動雙因子認證後，APP可能就會把整個轉帳request送出去

，但如果剛好在這個時間點切換頁面出去再回來後，APP會重新回到轉帳流程，

對使用者來說看起來就像是剛剛的轉帳沒做完，很自然的就會在做一次雙因子認

證，於是就出現這種短時間內，重複兩筆相同內容的轉帳出現了。

大家手賤無聊的，可以找自己的帳戶玩看看，可能都會發生。


至於轉出去的款項麻....銀行那邊的說法是不管怎樣，都應該是要我這邊去跟對

方銀行申請協調，或直接跟收款人協調退款，他們沒有立場代替使用者去討這個

錢，即便我一直覺得你系統錯誤重複轉帳，應該是你們去討，怎麼會是我去討？

不過看起來銀行端可能有他們去討就等於承認他們系統出問題的這種概念吧，所

以即使他們要幫忙討，也是要我寫個委託書(意思是我要討的不是他門討的)，他

們才能跟對方銀行啟動這個追回款項的流程這樣，想一想自己去討好像還是快一

點了，不想把事情搞到那麼複雜，重點是想釐清到底是系統問題，還是我真的傻

了轉了兩次自己忘記了這樣。


※ 引述《CloudJ ()》之銘言：
: 今天紀錄跟對帳的時候發現6/20為什麼會有一筆轉出的款項轉出兩次，且時間一致
: (12:13)，打電話去客服查詢，客服回覆是有兩筆轉帳資訊，分別時間在12:13:31，
: 另一筆在12:13:41。
: 第一，這個不是我常轉出的帳號，是一個一個號碼打的，能在這麼短時間內打兩次可能性
: 實在很低。
: 第二，我轉帳還有打備註共四個中文字，整個流程，就算我把帳號背起來，都不見得有機
: 會在10秒內完成。
: 所以合理懷疑應該是系統錯誤重複轉帳了，已跟客服聯絡，現在就看將來要怎麼處理了
: ，畢竟錢已經轉出去人家帳戶了(對方當時也沒對帳，只看我截圖就覺得應該有轉帳了)
: ，我自己當下是有看到轉帳通知，但沒想過會兩筆重複，也沒仔細看帳戶記錄，結果一
: 周後才發現我轉出兩筆，他收到兩筆，未經對方同意直接在他帳戶扣款好像也不合理，
: 但如果是將來系統出包重複轉帳出去，要我自己去討回也很奇怪，接下來就看將來要怎
: 麼處理了。

--