作者 Psytoolkid (基德)標題 Re: [新聞] 百萬用戶注意! 「醫指付」疑洩資信用卡時間 Wed Sep 13 09:46:21 2023
原文恕刪。
我覺得大洸根本搞錯重點,我認真懷疑信用卡資料洩露是光明正大從app登錄進去拿的,這
個App登入只需要手機號碼和四位純數字密碼,關於手機號碼,大家應該都知道這個東西在
台灣完全沒有隱私,隨時都有人在試手機號碼是否有效,而四位純數字密碼對電腦暴力破解
來說是秒解。
我實際試過一分鐘連續登入錯誤超過30次都沒有任何防制措施,我相信是沒有限制登入嘗試
次數啦。
所以我使用完直接就刪除信用卡資料和常用使用者資料,目前一個禮拜還沒有盜刷發生,當
然還要觀察久一點才能更確認是否有效。
不過我看大洸的回覆好像覺得app的登入管理沒問題,完全沒提到這塊的安全保護有多差,
這種登入的管理大概跟財政部企業雲端那個預設密碼被拿去盜交易資料一樣蠢。
最後,明明交易時我就記得有看到ipass money選項,結果一進去居然跳通知說新增信用卡
才能交易,這什麼垃圾操作邏輯。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.242.199.179 (臺灣)
※ 作者: Psytoolkid 2023-09-13 09:46:21
※ 文章代碼(AID): #1b0HHlXZ (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1694569583.A.863.html
※ 同主題文章:
Re: [新聞] 百萬用戶注意! 「醫指付」疑洩資信用卡
09-13 09:46 Psytoolkid
推 mnxzq: app記錄安全碼很奇怪 信用卡公司沒3d驗證也很奇怪1F 09/13 09:49
→ bkebke: X支付本來就沒在OTP或後三碼的,那些綁卡時做過了2F 09/13 09:53
→ mnxzq: 醫指付是整張卡被拿去刷其他商店 不是透過醫指付app刷的3F 09/13 09:59
推 hyghmax1202: 醫指付的通路只有醫療院所 盜醫指付帳號也無法盜刷重點還是他們的資料庫安全性5F 09/13 10:07
推 tetani: 以前網購超商取貨 詐騙集團也都能拿到購買資料
我猜應該是出了類似內鬼y
因為會有些人被盜刷 出現刷卡驗證失敗
代表卡號和安全碼是被整個複製走
但對方還是沒辦法通過2fa7F 09/13 10:08
→ Psytoolkid: 我不是在說他用醫指付消費好嗎? 進去之後你信用卡資料還存著的話,多的是方法拿信用卡資料。
連登入安全機制都做得這麼糞,我不相信他有加密。2fa也可以盜啦,尤其用信件發送的。不過比這糞app的登入機制好一百倍以上13F 09/13 10:35
推 Mimmature: 你信用卡記本地端就好 存伺服器要不就心臟很大
要不就很有自信
存本地其他人盜用帳號密碼也盜不到信用卡
也能使用手機本身的金鑰加密工具
存伺服器被盜用帳號也不該下載完整的信用卡資料
直接在伺服器做金流本地顯示進度跟結果就好
如果你要下載回來才能跑金流 那乾脆存在本地
這就是很多事都沒做好的結果
就算你真的要下載回來
那你金鑰至少存在本地只有綁定的裝置才能解密吧18F 09/13 11:13
推 tw11509: 想像力真是有趣的東西,也太天馬行空了吧28F 09/13 11:25
→ square4: passkeys就分公鑰、私鑰,把密鑰保存、實體金鑰或生物辨識解鎖交給用戶,無密碼才不容易被盜號,也不像otp會被釣魚29F 09/13 11:29
--