[新聞] 資安國安雙崩盤！銀行券商總體檢　驚爆官網竟遭埋SDK

看板Soft_Job (軟體人)作者SilentBob (塞拎拔咧)時間6小時前 (2024/10/11 16:31)推噓4(5推 1噓 5→)

留言11則, 10人參與討論串1/1

機敏個資流中國1／資安國安雙崩盤！銀行券商總體檢　驚爆官網竟遭埋SDK https://www.setn.com/News.aspx?NewsID=1544856 近年來，資安問題成為全球金融市場的焦點，日前多家金融機構因資安漏洞遭金管會開罰。《三立新聞網》記者接獲爆料，一家剛大肆宣傳自家獲獎的金融機構，其官方網站使用的數據分析SDK碼（備註1），竟源自於一家註冊在中國北京市政府的數據公司。進一步調查全台前十大金融機構後，發現至少3家銀行、券商疑似面臨相同危機。這次事件凸顯台灣金融機構在資安管理上的重大挑戰，尤其該SDK具備強大追蹤能力、能蒐集客戶交易數據，若數據回傳北京，恐對台灣數據安全與金融機構信譽造成嚴重影響！《三立新聞網》記者循線一一追查，並找來了資安專家A大，一同揭露這件原來早就被金融業內精英熟知，但外界卻毫無所悉的極機密內幕！只見A大熟練地拿出電腦，先是打開最普通的瀏覽器，輸入該家一開始被爆料的金融機構網址，進入其官網後，再打開後台的應用程式，意外發現網頁程式碼最底層，藏著一串由英文字母及數字組成的代碼「SensorsData2015jssdkcross」。看到這串碼「sensorsdata2015jssdkcross」，連A大都很震驚，他帶著疑惑一邊對著《三立新聞網》的記者：「SensorData的SDK怎麼可以埋在這裡？！Sensors data是大陸的一家公司，在我們（資安）業內非常有名。」 A大接著說，雖然跑出來的資料顯示，這SDK存放在地端，資料會回傳給該金融機構，「但這串碼的背後，有沒有被設後門，資料會不會因為後門同步傳回北京，這都是很難說的呀！這家金融機構怎麼可以使用由一家北京公司寫出來的程式碼？這有問題吧！」開無痕模式　SDK也能追更可怕的是，當A大展示了這串程式碼給記者看後，不經意地說了一句話，記者聽完後深深吸了一口氣，整個人甚至起了雞皮疙瘩。A大說：「這個SDK碼，是連在無痕模式下，都能有效追蹤的！」也就是說，即便你使用「無痕模式」去到銀行、證券存匯款或做股市下單交易，同樣會被這家SensorData公司的SDK碼追蹤到，可以說是完全無處可逃。 A大再打開另一個軟體來驗證，對應後台跑出來的技術分析之處，其顯示出來的公司名稱也仍是Sensors Data，該軟體還法楚地把該公司的品牌logo顯露出來，是一個綠字寫著大大的S。不只Sensors Data有埋設SDK碼，連Google的GA（ Google Analytics）也有受託埋設追蹤在此。Ａ大表示：「這很奇怪，既然這家金融機構已經委託了Google，為什麼還要讓SensorData的追蹤碼入列，等於重工了！而且SensorData對台灣來說，又是一間相當敏感的公司！這兩面手法玩得實在讓人摸不清頭緒！」《三立新聞網》記者調查，從A大使用的另一個軟體驗證出來的logo，與中國大陸一家名叫北京神策的公司logo完全符合，而且該公司於微信（wechat）公眾號即為 sensorsdata2015。另，記者也找到了該公司在網路上，教導旗下學員如何將「 sensorsdata2015jssdkcross」應用於cookies的心法教學，並有詳細的操控步驟SOP可遵循。備註1：所謂的SDK（Software Development Kit，軟體開發工具包）是許多網站或應用程式為了方便進行數據分析而使用的工具，能夠收集用戶的行為數據，並傳回到後台系統進行分析。全球知名的Google公司，其用來做數據分析的GA，使用的正是SDK追蹤碼。然而，這些數據可能不僅僅回傳到該金融機構的伺服器，還有可能被傳回中國境內的伺服器，這對於用戶隱私及國家數據安全構成了潛在的重大風險。－－吐槽點太多了以至於無法分辨是不是反串。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.162.137 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1728635518.A.7E2.html

[新聞] 資安國安雙崩盤！銀行券商總體檢 驚爆官網竟遭埋SDK

[新聞] 資安國安雙崩盤！銀行券商總體檢　驚爆官網竟遭埋SDK