iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 5
1
Security

三十篇資安實例分享及解析系列 第 5

三十篇資安實例分享及解析DAY 5--7-11的icash點數遭兌換

資本市場,或許很多人覺得太遙遠,又或者根本對金融經濟一竅不通,那麼筆者今天就整理一個比較日常化的案例,讓讀者能夠了解,原來資安就在你我的身邊。

(1)事件:7-11的icash點數遭兌換,相關新聞報導:https://www.cmmedia.com.tw/home/articles/9804
(2)被攻擊單位:統一7-11
(3)系統:OPEN POINT APP
(4)時間:2018年5月
(5)攻擊方式:手機密碼遭盜用或惡意程式

我在此先簡述一下這則新聞,小七(7-11)可以利用open point累積點數儲值,但是有人累積點數突然被兌換,新聞當中某位資安專家是說,可能是因為很多家信用卡都有icash功能,所以變成讓有心人士可以透過不同方式跟來源,破解icash儲值,所以系統就產生問題?

基本上,我是看得滿頭霧水,這個事件是點數被兌換,而不是儲值出問題吧? 這個問題,可否請邦友們幫忙筆者釐清及解釋一下前後邏輯的連貫性? 謝謝!

後來7-11表示網站正常,應為個案,查詢icash所屬的愛金卡股份有限公司 (https://www.icash.com.tw/Home/NewsList?type=01&page=2&pageSize=9 ) ,也未看到公司有任何相關事件之公告稿,在查詢openpoint的公告,也只有一篇在2018/5/18 公告[OPENPOINT官網停止登入服務通知],(https://www.openpoint.com.tw/SETMemberWebsite/AnnounceMentItem.html?id=ff808081635015bc0163718d310d0053 ),所以後來很多受害者抱怨,愛金卡跟openpoint都未處理,消費者權益受損等等客訴,筆者也覺得愛金卡及openpoint既然有做該業務,理論上,客服應該還要提升,否則抱持著這種心態,未來勢必會被對手當作宣傳,對自己也並非太有利。

簡單分析完icash事情之後,以下我再舉一個自身的例子....聽說這個例子,很多人都有經驗過...^ ^淚,做個對照,

筆者在去年7月的時候Line被入侵了,盜用帳號的人到處跟朋友借錢買點數,所以筆者的朋友一一打電話來關心,當時筆者已經再跟line的客服聯繫解決的方式,好在朋友們都很聰明跟機警,都會先詢問過本人,先確認是詐騙,才沒有任何朋友受到傷害。

事情經過是這樣,某位非常好的朋友FB帳號被盜用,發訊息給筆者說他換了手機,詢問筆者電話號碼,筆者認為電話號碼並沒有甚麼要緊,也不疑有他,突然對方問『收到4個簡訊認證碼,請傳給他』? 當時第一時間也沒仔細去思考,好死不死的,簡訊上面又把四個碼放在最前面,根本不用打開簡訊去完整的閱讀內容,就馬上看得到四個認證碼 (一時疏忽,如果有打開,就會看到簡訊後面寫,不要把認證碼給其他人,唉…) ,於是就這樣對方拿到Line的認證碼,隨即手機裡的line就不能使用了,Line完全落入對方的手裡,當時,察覺有異,立即跟line的客服聯繫,大約花了三天事件才落幕。

筆者以這件親身經歷的事情,來跟上面7-11的點數遭兌換的事情做個對照,7-11的icash點數遭兌換事件,統一超商檢察系統後,發新聞稿(不是公司的公告稿)表示,它們的系統資安很嚴密,目前並無異樣,可能只是個案問題。我們不去探究到底嚴不嚴密(畢竟這是他們應該要做的事情),比對之下,同樣的事情,筆者所使用的line,其實,資安也許、應該很嚴密吧? 但是也許,使用者就是在某個不注意的情形下,就這樣被盜用帳號了。換句話說,icash其實,資安也許、應該很嚴密吧? 但是也許,使用者就是在某個不注意的情形下,就這樣被偷偷兌換點數了。

人畢竟無法長時間處於警覺的狀態,如果身旁的朋友,有帳號被駭,或者遭盜用,或許讀者可以不用太在意,可以認為事情不可能發生在自己身上,但也許就是這樣,不知道哪天,你的帳號可能也會跟你的朋友一樣,中了同樣的手法,不但自己著遭殃,連帶你的朋友也跟著受害。

所以筆者如果身旁有朋友發生一些被駭的事件,筆者都會在事後詢問始末,畢竟,了解越多,越能幫助自己迅速做出判斷。

最後,希望今天這篇文章,能讓您在讀完之後,也能隨時保持警覺,不再受同樣的傷害。


上一篇
三十篇資安實例分享及解析DAY 4--遠東國際商業銀行18億元被盜轉
下一篇
三十篇資安實例分享及解析DAY 6--台灣司法院隔離外網還是被入侵受駭
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言