中信网银个资外洩,突显 80 20 法则的 20% 才是需

中信网银个资外洩,突显 80  20 法则的 20% 才是需

5 月 13 日晚上,作者在浏览 Facebbok 时就看到网友所发布的讯息:BBS 站「台大 PTT」传出,中国信託金融控股公司旗下的中信银网路银行,疑似有个人资料外洩问题,可以在缴费中心功能的页面上搜寻到客户的电话与姓名等资料。

可惜作者动作太慢,没能在试着查询一下是否有自己的个资在其中(作者也是中信银的存户之一)。

中信银不排除有心人士破坏,将会加强监控、追踨

而中信银稍后对此事件表示,13 日晚上 9 点,接获客户反映网路缴费资讯出现异常状况,而资讯与网路银行等相关部门随即展开了解,为了清查相关原因,在晚上 10 点已先行关闭网路银行的「缴费中心」功能,经过紧急处理后,「缴费中心」于 14 日凌晨已恢复正常服务,至于网路银行的其他功能,如查询、转帐交易等功能则正常运作,并未受到影响。

中信银并强调,缴费中心常用帐号设定功能,是客户自行设定透过网路缴交电费、电信费、有线电视费等缴费项目及代号,与其他功能无关,因此,网路银行等交易资讯等并未受此事件影响。

至于为何网站会发生个资外洩,中信银不排除有心人士破坏,正进一步追查中,并向警方备案;中信银强调已加强监控、追踨以防止类似事件再次发生,另外也委託鉴识单位协助调查。

有没有可能是资料库设计不完备?2007 年也曾因系统设计不完备导致个资外洩

虽然有人推测,事件的发生可能导因于资料库程式设计不完备,导致查询资料条件过于宽鬆,以致于让使用者能搜寻到的资料远多于其权限所赋予的。当然,也有人猜是不是遭到菲律宾网军所骇?

其实,这不是中信银网路银行第一次发生设计上的瑕疵,2007 年也发生过网路银行的帐户资料外洩事件。当时有资安专家指出,这个网路银行系统设计的瑕疵,可能是 Session ID 没有跟使用者的电脑绑定(Binding)所致。

也就是当网路银行的使用者登入系统之后,网路伺服器会产生一个 Session ID,用来代表使用者的电脑,在使用者浏览网页的过程中,网路伺服器就可以利用这个 Session ID 来识别不同的使用者,以提供相对应的服务。

若 Session ID 没有跟使用者的电脑 Binding,使用者(甲)在登入系统后,在尚未登出系统或关闭网页之前,若把 URL(Uniform Resource Locator,资源定位器)传给其他人(乙),由于该网址已带有 Session ID,所以,在乙的电脑上也可以同步浏览甲的帐户资料,如此,乙就可以跳过系统登入的程序。

若技术人员若不重视细节,所有的品质问题必定层出不穷

当然,这次事件的主因为何还不清楚,但,追究问题的源头,还是系统程式存在弱点或更新前的程序不够严谨,才会导致个资外洩的问题。

莫非定理(Murphy’s Law)就指出:「凡是可能出错的事必定会出错」。因此,任何事件,只要有大于零的发生机率,就不能假设它不会发生。从中信银网路银行事件可以了解,若技术人员若不重视细节,所有的品质问题必定层出不穷;若能深入细节,就能防範重複的问题一再发生。

相关文章