PTT評價

Re: [討論] 將來銀行網銀轉帳出包

CloudJ 發表於 2022/7/1 下午12:59:46
看板Bank_Service標題Re: [討論] 將來銀行網銀轉帳出包作者
CloudJ
 ()時間推噓41 推:41 噓:0 →:19

昨天將來的某個自稱副理還是誰的打給我,討論這個問題的相關可能性,剛好我也

有一點點資訊底,大概跟他詢問一下,他說他從後台來看,整個動作確實都是做了

兩次,所以對系統來說,他就是兩筆成功的轉帳無誤。

但我提出的質疑是,如果前端APP這邊有誤,送出了兩筆request,是否在系統上

看起來就會呈現這樣的狀況呢?我認為合理的一個金融交易應該有session的建立

同一時間應該驗證只能有一個session的建立,很顯然將來在登入的機制上有做這

樣的機制(兩個裝置同時登入時,前登入的裝置會被踢除斷線),但在轉帳的這個

動作似乎就沒有把這樣的機制建立起來。而是單純的app這邊驗證完後,就把reqeust

送去給他們後台系統了,所以只要後臺系統收到兩筆看似合理重複的request就會

轉帳兩筆金額出去。

希望將來能趕快把這個漏洞補起來了,反覆的測試一下,大概抓到了bug的發動點

https://youtu.be/2tisdk2thAI

我依稀有一個印象是當時轉帳的時候,剛好公司的teams對話跳出來,我點去看了

一下,跟我沒關係就跳回原頁面繼續轉帳了,果然看起來問題就是出在這個跳出

去的時間點,如果在啟動雙因子認證後,APP可能就會把整個轉帳request送出去

,但如果剛好在這個時間點切換頁面出去再回來後,APP會重新回到轉帳流程,

對使用者來說看起來就像是剛剛的轉帳沒做完,很自然的就會在做一次雙因子認

證,於是就出現這種短時間內,重複兩筆相同內容的轉帳出現了。

大家手賤無聊的,可以找自己的帳戶玩看看,可能都會發生。


至於轉出去的款項麻....銀行那邊的說法是不管怎樣,都應該是要我這邊去跟對

方銀行申請協調,或直接跟收款人協調退款,他們沒有立場代替使用者去討這個

錢,即便我一直覺得你系統錯誤重複轉帳,應該是你們去討,怎麼會是我去討?

不過看起來銀行端可能有他們去討就等於承認他們系統出問題的這種概念吧,所

以即使他們要幫忙討,也是要我寫個委託書(意思是我要討的不是他門討的),他

們才能跟對方銀行啟動這個追回款項的流程這樣,想一想自己去討好像還是快一

點了,不想把事情搞到那麼複雜,重點是想釐清到底是系統問題,還是我真的傻

了轉了兩次自己忘記了這樣。


※ 引述《CloudJ ()》之銘言:
: 今天紀錄跟對帳的時候發現6/20為什麼會有一筆轉出的款項轉出兩次,且時間一致
: (12:13),打電話去客服查詢,客服回覆是有兩筆轉帳資訊,分別時間在12:13:31,
: 另一筆在12:13:41。
: 第一,這個不是我常轉出的帳號,是一個一個號碼打的,能在這麼短時間內打兩次可能性: 實在很低。
: 第二,我轉帳還有打備註共四個中文字,整個流程,就算我把帳號背起來,都不見得有機: 會在10秒內完成。
: 所以合理懷疑應該是系統錯誤重複轉帳了,已跟客服聯絡,現在就看將來要怎麼處理了: ,畢竟錢已經轉出去人家帳戶了(對方當時也沒對帳,只看我截圖就覺得應該有轉帳了): ,我自己當下是有看到轉帳通知,但沒想過會兩筆重複,也沒仔細看帳戶記錄,結果一: 周後才發現我轉出兩筆,他收到兩筆,未經對方同意直接在他帳戶扣款好像也不合理,: 但如果是將來系統出包重複轉帳出去,要我自己去討回也很奇怪,接下來就看將來要怎: 麼處理了。

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.9.137.36 (臺灣)
PTT 網址

s1an07/01 13:01直接金管會投訴 讓他親爸爸來電他

abccbaandy07/01 13:17免費幫debug耶XD

chiyuan07/01 13:22就在想說如果重複轉成功的情況怎辦就有人發生了

BearFather07/01 13:23真雷 這種直接投訴了

yuenru07/01 13:23簡單講 是操作APP過程中斷就被認定是轉出去了?

a2263543407/01 13:26看起來是畫面被中斷更新了

a991033007/01 13:30投訴金管會...這算嚴重bug吧?

snowcreeper07/01 13:32相同手法重複10次 會產生10筆一樣的轉出嗎

keyman207/01 13:32reproduce the issue 記得cc一份給老闆

snowcreeper07/01 13:33這個app設計也太爛了

alloc07/01 13:35是我就直接投訴到底 這麼嚴重的包還要自己去處理 也太雷

horusli07/01 13:39投訴金管會,這種服務品質真的很無言

utahraptor07/01 13:42客戶變fae幫忙複製問題 乾脆直接給權限開ticket好了

Ken5203907/01 13:43看起來的確很有可能跳回APP以後又做了一樣的轉帳

loneloneago07/01 13:43有些網銀app短時間重複轉帳會跳出提醒彈窗再次確認

loneloneago07/01 13:44將來可以把這功能加進去

SilentBob07/01 13:4530秒內轉出轉入帳號以及金額都一樣的rq就應該直接阻擋

abobstar07/01 13:46這bug還挺嚴重的

abobstar07/01 13:48一般APP的使用經驗轉完一筆 要轉下一筆都要重新登打

robim07/01 13:49讓客戶幫忙debug???也太可笑哈哈哈

Go207/01 13:51人真好 幫忙debug

corlachang07/01 14:15切,這不關銀行的事?真的要去投訴,這已經不是有無

corlachang07/01 14:16防呆的問題了,這設計上的缺失啊。

maxcockroach07/01 14:20剛轉到自己帳戶沒問題

你有像影片那樣切換出去?

corlachang07/01 14:22記得是彰銀的PC網銀,轉帳完馬上下一筆完全相同的,會

corlachang07/01 14:24跳出視窗問你,這兩筆轉帳也是不同的編號。

※ 編輯: CloudJ (101.10.46.35 臺灣), 07/01/2022 14:34:54

fufufu062307/01 14:37沒誠意解決就是金管會阿

chiyuan07/01 14:44比較嚴重的是已經跳出錯誤訊息了,還轉成功,這個超瞎

chiyuan07/01 14:48雖然1.3%很吸引人,但想到轉帳會失敗的可能就有點怕怕的

lirick4207/01 15:15這已經是重大疏失可以開罰了欸

BNYMellon07/01 15:56真離譜

yuna032707/01 15:57忘記是那一家銀行,連續快速轉兩筆錢會跳出提醒視窗"您

yuna032707/01 15:57剛才已轉過相同金額xx,是否繼續這筆交易" 當時真的覺得

yuna032707/01 15:57這個設計太貼心了,有時候不知道為什麼就會按到兩次送出

yeh041607/01 16:11幫忙debug要付錢啊

justaID07/01 16:19原po還幫他reproduce,被將來賺到一個免費QA,這個根本

justaID07/01 16:19就算系統bug,app設計不良造成誤導user重複操作轉帳,銀

justaID07/01 16:19行端的態度不想認錯想卸責,很不ok

yuna032707/01 16:24看完影片覺得是設計不夠細膩,當使用者跳出再跳回時,

yuna032707/01 16:24應該要多增加轉帳成功或失敗的畫面,不能都不處理停在

yuna032707/01 16:24原畫面,會讓使用者誤導以為沒有轉成功

p52088807/01 17:05這是銀行設計問題吧 難道我購物結帳不需要確認嗎

dowbane07/01 18:09等一下幫除錯該發獎金吧

Kirshoff07/01 18:18轉帳給自己還沒遇過 找客服請工程師改善看看

hh80031507/01 18:5132樓那間是中信

elfswordsman07/01 19:06這都沒設計到還要使用者自己吞XD

spatacus201107/01 19:26這樣操作過程就會轉兩次我覺得app很有問題..

spatacus201107/01 19:29有夠雷的,除了轉給自己根本不想用了

ftank18307/01 19:4232樓的大大那個好像大戶也有 不知道是2還第3次就跳出來

lottepudgy07/01 19:443.1% 真夠的

justaID07/01 20:33防短時間重複轉帳,我記得richart 好像也有

DDG11451407/03 01:07銀行應該要付你Debug 費用

zack200407/03 02:03直接投訴金管會了啊

jefflin55507/03 04:05每筆交易要有新的token,token重複就要拒接交易,這點

jefflin55507/03 04:05都做不到,不合格的銀行

barkids07/03 10:16這還能信賴金融交易安全?豈容姑息

barkids07/03 10:17為了將來好,金管會非常需要知道

ahjiy07/03 22:10這間銀行是不是想騙錢吸金,轉入沒問題,轉出就一堆問題

chunyen3607/07 07:41客人幫你解決問題還不付錢

justaID07/07 12:54感覺是被壓下來了,國家隊丟不起這個臉
同系列文章
[討論] 將來銀行網銀轉帳出包
其他人也閱讀了
PTT 熱門相關