作者 snoopy7214 (醉生夢死)標題 [新聞] 17LIVE控綠界金流平台有漏洞 揚言提告時間 Wed Aug 30 12:20:13 2023
原文標題:
17LIVE控綠界金流平台有漏洞 揚言提告返還千萬欠款並示警市場
原文連結:
https://finance.ettoday.net/news/2571235
發布時間:
2023-08-30 00:02
記者署名:
蕭文康
原文內容:
https://i.imgur.com/nmCiVRA.jpg
線上第三方支付ECPay交易平台的綠界科技(6763)遭17LIVE控資安漏洞,17LIVE聲稱綠
界科技金流平台出現漏洞,致使17LIVE平台多宗客戶交易資料遭竄改,雖綠界強調此起事
件為程式邏輯瑕疵,非核心系統,是單一個案,也非駭客入侵,不過,17LIVE強烈不滿並
指控綠界科技若是個案又為何需報警處理,並要求配合調查,人前人後說法完全不一致,
揚言將提告同時要求返回逾千萬欠款及示警市場。
綠界科技指出,今年於7月25日,接獲17LIVE詢問撥款事宜,於當日查詢交易情況後,緊
急加強修改程式邏輯判斷,並於後續與17LIVE共同決定報請警察單位協助調查。依據公司
內控管理辦法,上述程式邏輯瑕疵,非屬公司核心系統,且僅有此個案發生,判斷此事件
非屬重大資安事件,並非如17LIVE所述未遵守法令規定發布重大訊息,對市場及時發出警
訊等云云。
綠界科技說,於7月25日接獲17LIVE通知後,已緊急修改完畢,後續並未再發生類似情形
。另經全面徹查後,僅17LIVE有上述問題,並未影響其他會員之權益,公司積極與17LIVE
商討後續事宜,在此澄清說明。
針對綠界的重訊內容,17LIVE也還原事情真相表示,綠界科技交易系統出現失誤卻渾然不
知,直到在今年7月發現前月帳款有誤要求對帳後,竟陸續發現多月均出現短收差異,累
計金額逾上千萬元,追溯時間從2022年迄今,3個月內累積問題交易筆數超過400多筆(非
對方所稱單一個案),且異常時間長達1年以上;經多次協商時,綠界科技推稱係遭駭客
入侵竄改資料(非重訊所說程式邏輯瑕疵),且非綠界科技平台責任,無法履約。
事後,綠界科技僅進行報案,始終迴避雙方契約責任,不願付清積欠逾千萬的帳款。本公
司為維護權益,將向法院對綠界科技提起訴訟,要求綠界儘速履行合約,同步以此聲明對
金融市場秩序失序示警。
17LIVE同時也鑒於線上金流已成為一般日常慣用的管道時,呼籲大眾對於自身交易安全應
提高警覺,政府相關單位也能正視金流系統與服務業者的態度與專業能力,應給予業者最
嚴謹的要求與規範,勿枉勿縱,避免使線上系統成為不肖業者與犯罪者的媒介。
17LIVE針對綠界科技提出七大項質疑:一、綠界科技除聲稱自家系統因受到駭客入侵,在
要求對帳後,才回查自身系統並聲稱此問題自今年5月開始發生,但經雙方進一步確認,
竟發現於去年5月亦有相同狀況,且綠界早在當時即已注意到系統異常,但直到今年7月25
日17LIVE主動通知後才聲稱已將漏洞防堵,請問從發現入侵到修復時間超過一年,一年來
綠界科技系統示警功能是否失靈?為何從未主動警示客戶端有交易問題?這個漏洞為何始
終宣稱為駭客所為?抑或內控出現漏洞?
二、若依據綠界重訊宣稱,倘為系統邏輯判斷問題,怎會只針對一個公司出現問題?又為
何僅有這段時間出現問題,其他月份卻無程式瑕疵?若僅為系統邏輯判斷問題,怎會出現
兩個不同的交易結果資料,成功的傳給客戶,失敗的留在自己系統裡?更要求我方工程師
要自行進到綠界後台撈取資料?倘若是邏輯判斷,應該是所有交易都會失誤,差異應不只
這些。
三、綠界科技聲稱其自去年5月起即發現平台系統有受駭客入侵,其技術人員為何放任入
侵行為持續發生至今年7月?(中間也未向17LIVE表示任何警訊)就金流公司責任,理應確
保每個關卡都是安全無虞的。今宣稱非核心系統所以無礙,請問綠界核心系統為何?倘若
給予客戶唯一可依據是否能給付產品的系統都非核心系統?那何謂核心?請問綠界心裡只
有核心系統需要照顧,非核心系統並不需要花時間和人力維護?可以任由客戶損失置之不
理?
四、若如綠界科技聲稱從去年5月便發現系統遭駭客入侵,身為上櫃公司的綠界科技運營
之ECPay平台顯然已暴露在重大風險中,若非核心系統失誤之重大資安事件,且為單一個
案,為何在此時發出重訊澄清?是否連重訊都是刻意掩蓋事實,規避上櫃公司應遵守之法
規。
五、綠界科技作為運營第三方支付的金流平台,應確保金流安全、順暢,其向每個客戶、
每筆交易收取服務費用,並得以成為上櫃公司,便應盡最大的專業能力和責任力守平台交
易正確與安全為責任和義務,然其遇此事不僅後知後覺,更將責任推給入侵者,要求客戶
承擔損失,請問綠界科技若收取管理服務費,卻未能提供安全、合理之服務,甚至不需為
此負責的話,商業制度的公平正義何在?
六、綠界科技運營之ECPay係領有政府發給執照之專有事業,扮演與銀行溝通之線上金流
角色之一,為社會公器之一環,若依其取得的資安認證,應擁有最嚴格的金融交易模式與
制度運營,然而在控管金融交易時,卻須客戶要求對帳後才查知系統有異,事後並要求客
戶應自行於ECPay後台撈取資料或透過API反查核對,不知其專有執照如何取得?資安認證
更是從何得來?
七、對照國際中第三方支付公司處理類似事件均能擔起最大平台責任,以日本GMO為例,
控管機制不僅嚴謹,平台對系統遭盜刷等入侵問題,均以保護客戶與用戶權益為最大宗旨
,反觀號稱台灣最大第三方支付業者的綠界科技,卻未見其作出保護平台與客戶權益的最
大化行動,顯已喪失身為第三方支付業者的專業經營能力與責任。
綠界科技昨日股價表現強勢,終場收在426元、上漲10元或2.4%。
法人指出,資安及信任為第三方支付取得客戶信賴及鞏固業績的最重要的兩根支柱,綠界
科技和17LIVE所引發的資安漏洞糾紛是否會影響綠界科技日後聲譽並影響短線股價表現,
值得後續觀察。
心得/評論:
https://bit.ly/44qCyAl
【公告】澄清17LIVE針對綠界科技金流平台出現漏洞之說明
日 期:2023年08月29日公司名稱:綠界科技(6763)主 旨:澄清17LIVE針對綠界科技金流平台出現漏洞之說明發言人:梁維誠說 明:1.事實發生日:112/08/292.公司名稱:綠界科技股份有限公司3.與公司關係(請輸入本公司或子公司):本公司4.相互持股比例:不適用5.傳播媒體名稱: ...
兩邊聲明看起來有幾點偏奇怪
1.綠界說發生問題時間點 交代不清楚
2.明明就有發現問題 卻隱匿告知用戶
看起來綠界應該要賠了吧?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.10.73.238 (臺灣)
※ 作者: snoopy7214 2023-08-30 12:20:13
※ 文章代碼(AID): #1axiD_ev (Stock)
※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1693369215.A.A39.html
推 Nsroy: 想撿1F 08/30 12:22
推 IanLi: 只有特定客戶有問題,這也蠻奇妙的7F 08/30 12:38
→ bnn: 其他客戶沒對帳?8F 08/30 12:39
→ bbcer: 所以儘量不要在任何網購APP裡綁定信用卡資訊10F 08/30 12:45
→ JoeyChen: 跟客戶說遭駭客入侵 重訊說程式邏輯瑕疵 這....11F 08/30 12:45
推 losage: 都什麼年代了,還有人會看美女直播喔??12F 08/30 12:47
推 caumu: 主播剛剛戳了你13F 08/30 12:47
推 p2168936: 有朋友用完綠界支付卡片就被盜刷了
資安堪憂 不敢再用15F 08/30 12:51
推 Klauhal: 綠界做超大的,真有問題會直接爆開吧17F 08/30 12:54
噓 andy3391: 看到這新聞,立刻停了所有透過綠界定期定額的捐款20F 08/30 13:19
→ b9513227: 不就客製化的出包而已 在腦補啥21F 08/30 13:58
→ williamhan: 看起來連接客戶端安全沒做好,伺服器看起來是沒問題,也希望不要有問題…22F 08/30 14:16
推 KarlMarx: 伺服器應該沒問題,不然會爆更大。24F 08/30 14:38
推 guanting886: 我用藍新也被盜刷啊 現在連銀行端自己都有內鬼了
資安堪憂勒
要馬這個問題就是綠界給的手機App SDK沒包好 要嗎就是17直接公佈出來比較快 到底是bug還是資安問題直接攤牌省的猜
綠界若有給人家少收本來就要負責 如果是17自己沒包好那他也是得承擔全責25F 08/30 14:58
推 joygo: 17工程師生氣了32F 08/30 15:45
推 tp654xjp6: 慘 發生這種事還想規避責任 這賠定了吧
收到確認通知 才給儲值點數的
這樣的金流公司還能信嗎33F 08/30 17:58
推 MixBear: 17沒在對帳也蠻妙的XD 是洗錢洗太大 無感喔
看大人打架36F 08/30 21:27
推 naive7: 只有這家有問題 你覺得呢 綠界2.30萬家特店39F 08/31 08:24
--