PTT數位生活區 / MobileComm (行動通訊)

Re: [新聞] 百萬用戶注意! 「醫指付」疑洩資信用卡遭盜刷

看板MobileComm (行動通訊)作者 (基德)時間1年前 (2023/09/13 09:46), 編輯推噓6(6033)
留言39則, 11人參與, 1年前最新討論串2/3 (看更多)
原文恕刪。 我覺得大洸根本搞錯重點,我認真懷疑信用卡資料洩露是光明正大從app登錄進去拿的,這 個App登入只需要手機號碼和四位純數字密碼,關於手機號碼,大家應該都知道這個東西在 台灣完全沒有隱私,隨時都有人在試手機號碼是否有效,而四位純數字密碼對電腦暴力破解 來說是秒解。 我實際試過一分鐘連續登入錯誤超過30次都沒有任何防制措施,我相信是沒有限制登入嘗試 次數啦。 所以我使用完直接就刪除信用卡資料和常用使用者資料,目前一個禮拜還沒有盜刷發生,當 然還要觀察久一點才能更確認是否有效。 不過我看大洸的回覆好像覺得app的登入管理沒問題,完全沒提到這塊的安全保護有多差, 這種登入的管理大概跟財政部企業雲端那個預設密碼被拿去盜交易資料一樣蠢。 最後,明明交易時我就記得有看到ipass money選項,結果一進去居然跳通知說新增信用卡 才能交易,這什麼垃圾操作邏輯。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.242.199.179 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1694569583.A.863.html
09/13 09:49, 1年前 , 1F
app記錄安全碼很奇怪 信用卡公司沒3d驗證也很奇怪
09/13 09:49, 1F
09/13 09:53, 1年前 , 2F
X支付本來就沒在OTP或後三碼的,那些綁卡時做過了
09/13 09:53, 2F
09/13 09:59, 1年前 , 3F
醫指付是整張卡被拿去刷其他商店 不是透過醫指付ap
09/13 09:59, 3F
09/13 09:59, 1年前 , 4F
p刷的
09/13 09:59, 4F
09/13 10:07, 1年前 , 5F
醫指付的通路只有醫療院所 盜醫指付帳號也無法盜刷
09/13 10:07, 5F
09/13 10:07, 1年前 , 6F
重點還是他們的資料庫安全性
09/13 10:07, 6F
09/13 10:08, 1年前 , 7F
以前網購超商取貨 詐騙集團也都能拿到購買資料
09/13 10:08, 7F
09/13 10:08, 1年前 , 8F
我猜應該是出了類似內鬼y
09/13 10:08, 8F
09/13 10:09, 1年前 , 9F
因為會有些人被盜刷 出現刷卡驗證失敗
09/13 10:09, 9F
09/13 10:10, 1年前 , 10F
代表卡號和安全碼是被整個複製走
09/13 10:10, 10F
09/13 10:10, 1年前 , 11F
但對方還是沒辦法通過2fa
09/13 10:10, 11F
09/13 10:26, 1年前 , 12F
密碼只要四位數字?
09/13 10:26, 12F
09/13 10:35, 1年前 , 13F
我不是在說他用醫指付消費好嗎? 進去之後你信用卡
09/13 10:35, 13F
09/13 10:35, 1年前 , 14F
資料還存著的話,多的是方法拿信用卡資料。
09/13 10:35, 14F
09/13 10:36, 1年前 , 15F
連登入安全機制都做得這麼糞,我不相信他有加密。
09/13 10:36, 15F
09/13 10:39, 1年前 , 16F
2fa也可以盜啦,尤其用信件發送的。不過比這糞app
09/13 10:39, 16F
09/13 10:39, 1年前 , 17F
的登入機制好一百倍以上
09/13 10:39, 17F
09/13 11:13, 1年前 , 18F
你信用卡記本地端就好 存伺服器要不就心臟很大
09/13 11:13, 18F
09/13 11:13, 1年前 , 19F
要不就很有自信
09/13 11:13, 19F
09/13 11:13, 1年前 , 20F
存本地其他人盜用帳號密碼也盜不到信用卡
09/13 11:13, 20F
09/13 11:13, 1年前 , 21F
也能使用手機本身的金鑰加密工具
09/13 11:13, 21F
09/13 11:13, 1年前 , 22F
存伺服器被盜用帳號也不該下載完整的信用卡資料
09/13 11:13, 22F
09/13 11:13, 1年前 , 23F
直接在伺服器做金流本地顯示進度跟結果就好
09/13 11:13, 23F
09/13 11:13, 1年前 , 24F
如果你要下載回來才能跑金流 那乾脆存在本地
09/13 11:13, 24F
09/13 11:13, 1年前 , 25F
這就是很多事都沒做好的結果
09/13 11:13, 25F
09/13 11:15, 1年前 , 26F
就算你真的要下載回來
09/13 11:15, 26F
09/13 11:15, 1年前 , 27F
那你金鑰至少存在本地只有綁定的裝置才能解密吧
09/13 11:15, 27F
09/13 11:25, 1年前 , 28F
想像力真是有趣的東西,也太天馬行空了吧
09/13 11:25, 28F
09/13 11:29, 1年前 , 29F
passkeys就分公鑰、私鑰,把密鑰保存、實體金鑰或
09/13 11:29, 29F
09/13 11:29, 1年前 , 30F
生物辨識解鎖交給用戶,無密碼才不容易被盜號,也
09/13 11:29, 30F
09/13 11:29, 1年前 , 31F
不像otp會被釣魚
09/13 11:29, 31F
09/13 15:12, 1年前 , 32F
看到這篇,又下載了一次醫指付APP來看,綁定的那張
09/13 15:12, 32F
09/13 15:13, 1年前 , 33F
信用卡就是之前被銀行通知被盜刷的信用卡,就是這麼
09/13 15:13, 33F
09/13 15:13, 1年前 , 34F
巧合
09/13 15:13, 34F
09/13 15:15, 1年前 , 35F
大規模洩漏不會是這種方式,登入 try 是男女朋友、
09/13 15:15, 35F
09/13 15:15, 1年前 , 36F
夫妻比較可能
09/13 15:15, 36F
09/13 15:19, 1年前 , 37F
後端資料庫的儲存方式和邏輯比較重要,最糟是明碼存
09/13 15:19, 37F
09/13 15:19, 1年前 , 38F
,刪卡但紀錄仍留,那真的只能停換卡或關國外消費自
09/13 15:19, 38F
09/13 15:19, 1年前 , 39F
09/13 15:19, 39F
更多 Psytoolkid 的文章
文章代碼(AID): #1b0HHlXZ (MobileComm)
MobileComm 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 Psytoolkid 的文章
文章代碼(AID): #1b0HHlXZ (MobileComm)