Re: [新聞] 百萬用戶注意! 「醫指付」疑洩資信用卡
原文恕刪。
我覺得大洸根本搞錯重點,我認真懷疑信用卡資料洩露是光明正大從app登錄進去拿的,這個App登入只需要手機號碼和四位純數字密碼,關於手機號碼,大家應該都知道這個東西在台灣完全沒有隱私,隨時都有人在試手機號碼是否有效,而四位純數字密碼對電腦暴力破解來說是秒解。
我實際試過一分鐘連續登入錯誤超過30次都沒有任何防制措施,我相信是沒有限制登入嘗試次數啦。
所以我使用完直接就刪除信用卡資料和常用使用者資料,目前一個禮拜還沒有盜刷發生,當然還要觀察久一點才能更確認是否有效。
不過我看大洸的回覆好像覺得app的登入管理沒問題,完全沒提到這塊的安全保護有多差,這種登入的管理大概跟財政部企業雲端那個預設密碼被拿去盜交易資料一樣蠢。
最後,明明交易時我就記得有看到ipass money選項,結果一進去居然跳通知說新增信用卡才能交易,這什麼垃圾操作邏輯。
--
app記錄安全碼很奇怪 信用卡公司沒3d驗證也很奇怪
X支付本來就沒在OTP或後三碼的,那些綁卡時做過了
醫指付是整張卡被拿去刷其他商店 不是透過醫指付ap
p刷的
醫指付的通路只有醫療院所 盜醫指付帳號也無法盜刷
重點還是他們的資料庫安全性
以前網購超商取貨 詐騙集團也都能拿到購買資料
我猜應該是出了類似內鬼y
因為會有些人被盜刷 出現刷卡驗證失敗
代表卡號和安全碼是被整個複製走
但對方還是沒辦法通過2fa
密碼只要四位數字?
我不是在說他用醫指付消費好嗎? 進去之後你信用卡
資料還存著的話,多的是方法拿信用卡資料。
連登入安全機制都做得這麼糞,我不相信他有加密。
2fa也可以盜啦,尤其用信件發送的。不過比這糞app
的登入機制好一百倍以上
你信用卡記本地端就好 存伺服器要不就心臟很大
要不就很有自信
存本地其他人盜用帳號密碼也盜不到信用卡
也能使用手機本身的金鑰加密工具
存伺服器被盜用帳號也不該下載完整的信用卡資料
直接在伺服器做金流本地顯示進度跟結果就好
如果你要下載回來才能跑金流 那乾脆存在本地
這就是很多事都沒做好的結果
就算你真的要下載回來
那你金鑰至少存在本地只有綁定的裝置才能解密吧
想像力真是有趣的東西,也太天馬行空了吧
passkeys就分公鑰、私鑰,把密鑰保存、實體金鑰或
生物辨識解鎖交給用戶,無密碼才不容易被盜號,也
不像otp會被釣魚
看到這篇,又下載了一次醫指付APP來看,綁定的那張
信用卡就是之前被銀行通知被盜刷的信用卡,就是這麼
巧合
大規模洩漏不會是這種方式,登入 try 是男女朋友、
夫妻比較可能
後端資料庫的儲存方式和邏輯比較重要,最糟是明碼存
,刪卡但紀錄仍留,那真的只能停換卡或關國外消費自
保
28
Re: [問題] 同一天兩張不同銀行信用卡被盜刷百萬用戶注意! 「醫指付」疑洩資信用卡遭盜刷 2023.9.11 有不少醫療院所都有和「醫指付」APP合作,看診後可以用手機繳費,直接領藥,節省到 批價櫃檯繳費的時間。而且合作的醫療院所多達135家、30家銀行,但是現在卻有不少用19
[請益] 台新pay開啟付款碼問題我使用Richart life app但每次登入都要輸入密碼(快速登入只有Richart life或網路銀行才有跑出這選項,以Richart登入沒看到)且這app閒置幾分鍾就會登出耶 那這樣每次用付款碼消費會要我先按密碼登入帳戶...這還不給儲存密碼 WTF!!! 另外Richart app也有台新pay可以開啟條碼,雖然有點慢(要點四次才會開,但可以touch ID免按密碼) 霸特!找不到設定載具的地方...Orz 請教各位板大怎樣才能快速開啟付款條碼而且要可以順便刷載具18
[問題] 三星的安全資料夾最近轉移到新手機 結果重開機要我重新輸入密碼 結果都是錯 不應該是跟手機的數字密碼嗎 但都是不行14
[問題] 聯邦NEWNEWBANK 現在登不進去?其實有幾天了 好像星期日開始的 我一開始是想說確認下這個月的2%近來了沒 IPHONE SE2 IOS 13.6 NEWNEWBANK3.4.0 手機開APP發現原本預設輸入的身分證、代號都不見了 想說可能是APP有更新或IOS更新的關係10
Re: [問題] 我被以3D驗證碼通過的方式盜刷了正確,因為以目前的方式,只有實體卡(虛擬卡同實體卡)最容易竊取資訊,Google Pay、Apple Pay等因為包含手機資訊再進行加密,除非被植入有底層讀取權限的病毒,不然難以仿冒身份。 : 2. 持卡人的手機號碼、Email address. (線上購物網站資料被駭) : 3. 駭入持卡人的手機、Email帳號. (手機、電腦被植入木馬) 關於2、3點表示的應該是持卡人的手機已經被植入無法被偵測的病毒,或者電子信箱已經被破解登入,現行最容易被被User誤觸登入的是Google 提示(無法更改預設)以及Microsoft 無密碼登入,其餘的電子信箱MFA,如Yahoo是使用隨機碼驗證。 : 基本上,知道1也無法在需要認證密碼的網站盜用,還有知道2以及完成3.10
[問卦] 有沒有agoda被盜的八卦大家來聽聽故事 首先先來看一下新聞 這個苦主不是我,我的卡沒有被盜刷 我是agoda帳戶裡面的回饋金被全部提走 也沒有要討論盜刷卡的問題,純粹討論agoda10
Re: [問題] HANACELL ジャパンSIMカード疑問星期六去了趟日本把要註冊的售票系統都註冊完成了,腦細胞可能死了好幾百隻,哈:) 註冊完後有種:我是誰?我在哪?的感覺! 也來分享一下自己的註冊過程! 我網路是用台哥大易付卡漫遊加上用Surfshark VPN,手機是Zenfone 9,門號是Hanacell 我最後註冊了Lawson,pia,tixplus 三家…8
[請益] 全家Family APP安全性問題今天用新手機不小心登錄舊的全家手機會員, 發現登錄成功後綁定的信用卡也會一併在新手機上, 請問這是正常的嗎? 因為印象中像街口如果新裝置登入會解除所有 綁定的信用卡跟銀行帳戶,應該所有第三方支付都會有5
Re: [討論] agoda被陌生人登入?昨天收到agoda的異常登入警告, 由於按「no」的話 信件會自動跳轉至更改密碼的頁面 底下留言有鄉民提醒可能是釣魚詐騙郵件 我剛剛去信agoda客服中心3
[閒聊]中國信託信用卡被試圖登陸網銀帳號希望以下閒聊內文有符合版規: 因為我目前是持居留證,所以除了原本中信帳戶以外,申請 All me卡時,如要用中信網銀A pp 確認刷卡內容,中信的規矩是另開帳號和證號;所以我就變成有兩個中信帳號和中信證 號。 有詢問過客服,告知這兩個資料就是不能合併;儘管覺得很麻煩,但也只好接受。