永豐金憑證保護密碼ptt、永豐金憑證中心、永豐金換手機憑證在PTT/mobile01評價與討論，在ptt社群跟網路上大家這樣說

原文標題：
券商下單系統爆「撞庫攻擊」　三竹聲明「與之無關」正協助補強交易安全

原文連結：
https://www.ctwant.com/article/152883

發布時間：2021-11-26　18:14

原文內容：

國內元大證券「行動精靈」App海外複委託下單系統，11月25日下午突然出現所謂的「撞
庫攻擊」網路資安事件，遭駭客取得帳號、密碼的顧客，則自動下單買港股「深藍科技控
股」，券商正委託系統資訊商新增程序，補強交易安全防護力。統一證也通報類似情節，
也因此暫停複委託電子下單。

三竹資訊則發布聲明，強調「券商複委託下單系統異常，與三竹資訊無關」。三竹資訊董
事長兼總經理邱宏哲也親自向CTWANT記者表示，三竹資訊僅是為券商的App設計前台，並
無涉入帳號、密碼，而遭到駭客入侵的屬於券商負責的中後台端，與三竹資訊設計的系統
完全無關。

元大證「行動精靈」App的海外複委託交易功能，11月25日遭券商主動發現傳出遭駭客入
侵的異常下單港股案件之後，緊急關閉改為人工電話下單至今還未恢復，而該系統是委由
三竹資訊為元大證量身訂做，其中交易下單的「憑證」登錄則非三竹資訊所做，另為元大
證券尋求的合作廠商。

三竹資訊表示，該資安事件可以從兩個層面來看，一是駭客如何取得顧客的帳號、密碼？
一是下單交易的「憑證」登錄的帳號、密碼，涉及到使用「生日」為帳密的顧客，是否因
此容易被駭客入侵，而這也就是如外界所推測的「撞庫攻擊」，駭客從網路上蒐集到民眾
常使用的帳號、密碼之後，經由多次嘗試登錄下單金流系統而最後攻擊成功。

由於多個「憑證」登錄交易，會讓民眾使用「生日」即可成功登陸，因此此次元大證的「
行動精靈」App海外複委託下單系統，出現異常下單資安事件，遭駭客入侵的系統漏洞真
正原因，還有待元大證調查了解。

目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力，除了原有的「憑證」登
錄程序之外，將再新增設計一層的「OTP」（one-time password）簡訊動態密碼的程式，
即是一次性單次有效密碼，補強下單交易防護力。

以下為三竹資訊聲明全文。

針對媒體報導有關110年11月25日有券商發生港股異常下單案件，為避免社會大眾誤解，
本公司在此聲明此事件與三竹資訊無關，三竹資訊的系統運作一切正常，持續供應穩定服
務給所有客戶，呼籲相關人士發文與報導，應善盡查證之責，切勿混淆視聽。

經過了解，近期部份券商遭受駭客撞庫攻擊資安事件頻傳，即駭客拿網上已經洩露的用戶
密碼嘗試攻擊，臺灣證券交易所就表示，本月25號下午5點27分已接獲元大證券及統一證
券通報資安事件，部分客戶帳戶遭不明人士冒用，進行複委託下單並成交之情事，元大及
統一證券表示已暫停複委託電子交易，改採人工下單。

對此，三竹資訊對於已發生之事件深表遺憾，同時強調整起駭客事件與三竹資訊毫無關聯
。提醒投資人注意，應定期更換投資帳戶之密碼，以維護自身權益。


心得/評論：

三竹連老闆邱老大都出面啦~~講的很詳細內~

所以元大的賠償......？？？

三竹：這鍋我不背！

--

推 cuteSquirrel: 最離譜的是憑證怎麼掉的 = = 11/26 18:43
推 AxelGod : 董事長總經理直接出面說了 與山竹無關 元大： 11/26 18:47
→ mioz : 每秒幾千萬上下還要OTP 這下元大要崩了 11/26 18:48
推 stlinman : 呵呵 ~ 安撫客戶說法 " 都是別人出包! " 11/26 18:48
推 gint5566 : 這個不出手 去管那個桌曆ZZ 11/26 18:49
推 BDrip : 憑證就用生日來取得的呀 生日都當密碼了 11/26 18:49
推 neo5277 : 跟我預測的一樣XDXDXDXDXDX 11/26 18:51
推 loveponpon : 三竹：欸這鍋我不要揹 你自己背 11/26 18:52
→ tinlans : OTP 其實安卓手機已經有先例可以被駭客偷了。 11/26 18:54
→ tinlans : 憑證機制其實也是台灣特產，外國只有 OTP。 11/26 18:54
→ tctv2002 : 乾脆下單 多做一個指紋認證算了xd 11/26 18:56
→ tinlans : 不可能是撞庫，一般撞庫用的帳密清單是自己取的 ID 11/26 18:56
→ tinlans : 上面講的密碼用身份證字號比較有可能，要問一下 11/26 18:57
→ tinlans : 受害人是不是都這樣設密碼。 11/26 18:57
推 neo5277 : xss 很久以後 針對性吧早上怕被告我把文都刪了XD 11/26 18:58
推 BDrip : 你提醒文都刪了 我就去備份站看了 這樣會不會被告( 11/26 19:00
推 neo5277 : 還有備份喔?我來找找 11/26 19:01
推 neo5277 : 靠真的有 但是我覺得應該89不離十 11/26 19:04
→ tinlans : xss 也要證券商有 web API 給你跨站導過去吧 11/26 19:05
→ tinlans : 軟體跟後端如果是自訂 TCP 封包格式傳的 XSS 就不行 11/26 19:05
推 wyytw : 甩鍋 11/26 19:05
→ apple123773 : 結果元大開大 說這些人的密碼都是.....XD 11/26 19:07
→ tinlans : 不過說真的如果是拿戶政外洩資料的身份證字號和生日 11/26 19:07
→ tinlans : 去撞庫的，那絕對不可能只有這兩家出事。 11/26 19:07
推 neo5277 : 不是 不扯到憑證的話只針對ID跟密碼那滿簡單的 11/26 19:07
→ neo5277 : 然後配上有人說下單營業員看到適用行動精靈 11/26 19:08
推 Mazu323 : 的確如果只是單純的帳密~不該只有這兩家有問題 11/26 19:09
推 lolic : 全推給民眾最簡單囉 11/26 19:09
推 jerrylin : 所以就是被駭客駭了 解釋一堆幹嘛 11/26 19:10
→ tinlans : 帳密被盜這件事幾乎是肯定的，只是如新聞標題說的是 11/26 19:10
→ tinlans : 靠撞庫登入成功我覺得不可能，外面網站都是自訂 ID 11/26 19:10
→ tinlans : 很難關聯到你的身份證字號。 11/26 19:11
→ tinlans : 基本上應該至少有兩個問題存在：1. 人為流出個資 11/26 19:12
→ tinlans : 2. 後端盲信自己接收到的輸入全部合法。 11/26 19:12
推 hhhomerun : 想得太複雜了 還xss勒 做個很像券商的釣魚網站 讓你 11/26 19:13
→ hhhomerun : 登入進去 想要你輸入生日也很簡單好嗎 11/26 19:13
→ hhhomerun : 都到手以後 再用行動裝置去登入和裝憑證 就下單了 11/26 19:14
→ tinlans : 不管是釣魚還是撞庫，都無法解釋只有這兩家出事啊 11/26 19:14
推 apolloapollo: 猛撞攻擊 11/26 19:15
→ hhhomerun : 釣魚網站 就做元大跟統一的就好了啊 你會拿你富邦的 11/26 19:16
→ hhhomerun : 帳密去登看起來像元大的網站? 不會啊 11/26 19:16
→ tinlans : 合理 11/26 19:17
→ hhhomerun : 還是你覺得詐騙集團就是要認真為台灣50家券商都做一 11/26 19:17
噓 setsunaxia : 唬爛的，明明就資料外洩 11/26 19:17
→ hhhomerun : 個網站 顯然不會 要做就挑大的做就好 11/26 19:17
推 koibido : 是不是vip戶直接連到後台結果被駭 11/26 19:19
→ tinlans : 確實這樣是可能的，而且問受害當事人一般也很難記住 11/26 19:19
→ hhhomerun : 而且 這根本到國安層級了 券商和廠商再吵也沒意義 11/26 19:19
→ tinlans : 自己有沒有開過這種網站。但既然搜尋引擎上看不到， 11/26 19:19
→ tinlans : 那透過簡訊或電子郵件提供網址的可能性就很高， 11/26 19:20
→ hhhomerun : 我猜 以後大家手機登入下單系統 可能都要先打OTP才 11/26 19:20
→ hhhomerun : 能下單了 11/26 19:20
→ tinlans : 事後也容易跟受害人收集到共通點。 11/26 19:21
推 BDrip : 我覺得只有這兩家數是因為就這兩家的客戶夠吃下那些 11/26 19:21
→ BDrip : 單 幹嘛再增加成本( 11/26 19:21
→ tinlans : 憑證確實是一個很奇怪的東西，外國都是 OTP 而已。 11/26 19:23
→ tinlans : 不過以鬼島政府尿性我覺得會搞出憑證+OTP都要的制度 11/26 19:24
推 now99 : 綁定手機裝置，FIDO驗證就可以了 11/26 19:24
推 pastrolia : 與之無關…？文言文嗎？ 11/26 19:28
→ schula : 下單都要OTP太麻煩了吧，明明是元大自己安全性問題 11/26 19:36
推 Castle88654 : 元大週刊王踹共 11/26 19:39
推 shadow0326 : 看不懂在寫什麼 11/26 19:50
推 zxxz67 : 元大是不是金主阿 直接無視不查 11/26 19:51
→ s860134 : 手機下單憑證可以登入後申請　其實沒啥用 11/26 19:52
→ s860134 : 憑證是在證明你是這個人，但是你只要帳密就能登入 11/26 19:53
→ s860134 : 幹嘛還多一個憑證申請ＸＤ 11/26 19:53
推 pippen2002 : 踢皮球大賽囉，鬼島鬼股投資人真可憐?! 11/26 19:53
推 BDrip : 誰叫憑證申請那麼簡單( 11/26 19:54
→ s860134 : 簡單來說只要有帳密，就能下單了拉　生日都不用 11/26 19:54
→ s860134 : 我用過五家券商(第一凱基永豐鑫豐日盛)手機都是三竹 11/26 19:56
→ s860134 : 憑證都是你登入後就能申請了 11/26 19:57
→ s860134 : 所以我一直搞不懂下單要憑證幹嘛？完全沒更安全 11/26 19:57
→ overhead : 我之前就覺得登入後申請憑證邏輯很怪的，還以為是 11/26 20:01
→ overhead : 自己不懂資安，結果是真的很怪啊 11/26 20:01
→ bitlife : 憑證的用途是用來做為[不可否認],以前有陣子我印象 11/26 20:01
→ bitlife : 是要先臨櫃申請PC的,然後下載手機的必須透過PC啟動 11/26 20:02
→ bitlife : 傳到手機這個動作,等於是PC替手機做背書,可能後來很 11/26 20:02
→ bitlife : 多年輕人只用手機,而且都線上申辦不臨櫃,才放寬了這 11/26 20:02
→ bitlife : 個限制,但又沒加上簡訊綁定成功才能下載之類的防範 11/26 20:03
→ bitlife : 措施,於是就變成前面推文說的奇怪現象 11/26 20:03
推 jerrylin : 還好我只用券商軟體下單不用手機下單 11/26 20:04
→ brella : 誇張 11/26 20:04
→ jerrylin : 這樣有事一定是券商要賠我錢 11/26 20:04
推 Kobe5210 : 還好我老古板,習慣用電腦網頁下單... 11/26 20:09
推 overhead : 但電腦一樣有被駭的機率吧xd 11/26 20:10
推 shyshyan : 問題是不是有帳號密碼就能下單 還要有憑證 他怎麼 11/26 20:12
→ shyshyan : 弄到憑證？或者他不用憑證就能下單？ 11/26 20:12
推 honeypeanut : 金管會：沒事兒沒事兒 11/26 20:13
→ shyshyan : 而且帳號都是身分證 是有多少網站用身分證當帳號== 11/26 20:13
推 diogofseixas: 券商的憑證是笑話啊，輸入生日即可取得 11/26 20:14
推 s860134 : 手機憑證可以登入後申請: 所以我只需要帳密阿XD 11/26 20:15
→ s860134 : 輸入生日還多一層保護咧 11/26 20:16
推 shyshyan : 一堆人被盜帳號在差不多時間買仙股 最好是帳號被盜 11/26 20:16
→ shyshyan : 那麼簡單啦== 11/26 20:16
→ shyshyan : 怎麼想都是你系統被駭 被掃出一堆帳號下單好嗎 11/26 20:17
→ s860134 : 很多人是因為沒開複委託所以不知道已經外洩了八.. 11/26 20:22
→ s860134 : 這次都是有開複委託 11/26 20:22
→ s860134 : 下次直接搞有開期貨的，弄出下一個 0206 慘案XD 11/26 20:23
→ bitlife : 期貨比較沒那麼容易,因為保證金要自己主動匯款進去 11/26 20:25
→ bitlife : 保證金帳戶,不像股票圈存是下單時自動被圈 11/26 20:26
→ linkmusic : 這下糗了憑証也不甘三竹的事 11/26 20:54
→ linkmusic : 憑証是委外哪家作的為啥元大不公布？ 11/26 20:56
→ nacy204327 : 該不會是ㄍㄨㄢ…… 11/26 21:00
推 WhitePope : 憑證並非沒用，而是用來防止側錄和偽裝攻擊。如果沒 11/26 21:04
→ WhitePope : 有憑證，駭客就可以側錄網路流量，錄下你的交易資訊 11/26 21:04
→ WhitePope : 破解後，再做一個和交易app一樣的假app, 偽裝成你去 11/26 21:04
→ WhitePope : 下單 11/26 21:04
→ WhitePope : 注意這個差別是，app 和券商部份完全沒漏洞和過失。 11/26 21:05
→ WhitePope : 駭客就可以只靠側錄完成入侵交易。這就是憑證的重要 11/26 21:05
→ WhitePope : 性 11/26 21:05
推 WhitePope : 說憑證沒用就像你家被小偷破窗偷入，你說：大門真沒 11/26 21:07
→ WhitePope : 用，小偷從窗戶就可以進來了，不如把大門拆下來好了 11/26 21:07
推 WhitePope : 其實重點在為什麼憑證那麼好取得吧？這就像你家裝了 11/26 21:11
→ WhitePope : 無敵防盜門窗，但你卻把大門鑰匙放在門旁的花盆底下 11/26 21:11
推 WhitePope : 增加憑證的取得認證才是應該要做的事。例如要去券 11/26 21:16
→ WhitePope : 商登記手機，取得憑證時要經過OTP認證。 11/26 21:16
→ tctv2002 : 我覺得下載憑證 可以多一道視訊認證 11/26 21:28
→ tctv2002 : 類似網銀視訊開卡 亮身分證之類的 11/26 21:29
推 stot404 : 我密碼跟身分證還有生日完全無關，可以說是一串亂碼 11/26 22:55
→ stot404 : 喔0.0） 11/26 22:55
→ Arpia : 看山竹這重訊，應該就不關app的事 11/26 23:34
→ Arpia : 出包的券商只一直說app帳密問題，好像完全避談它發 11/26 23:34
→ Arpia : 的“憑證” 11/26 23:34
推 ericsg : 台灣證券的憑證就只有一家做最多啦 11/26 23:52
推 Assyla : 看完這則新聞，一直懷疑其實統一是被亂拉出來的 11/27 00:17
→ Assyla : 不然只有元大有問題了，就很難推給三竹 11/27 00:17
推 vyvian : 就全部改用自然人憑證吧 每次交易都要插卡最安全 11/27 01:53
→ llw116 : 憑證只是對下單內容做加密，後台再驗證簽文與下單 11/27 03:16
→ llw116 : 內容是否符合，單純撈到憑證不一定有用，還要看簽 11/27 03:16
→ llw116 : 文的格式，可能要看簽文的格式是否外洩。 11/27 03:16
推 ntg123 : 哈！懂的人就知道問題出在誰了 11/27 05:42
推 neil25 : 一直在討論用戶端 有人沒開複委託沒開外幣帳戶 一 11/27 09:37
→ neil25 : 樣被下單 感覺是直接入侵資料庫下單的 11/27 09:37
推 dunjiin : 有人沒下載行動下單也中，所以完全是憑證漏洞，無 11/27 22:27
→ dunjiin : 關你用不用 11/27 22:27
推 dunjiin : 回127樓，手機插卡下單，強人所難 11/27 22:31