機敏個資流中國1/資安國安雙崩盤!銀行券商總體檢 驚爆官網竟遭埋SDK https://www.setn.com/News.aspx?NewsID=1544856 近年來,資安問題成為全球金融市場的焦點,日前多家金融機構因資安漏洞遭金管會開罰 。《三立新聞網》記者接獲爆料,一家剛大肆宣傳自家獲獎的金融機構,其官方網站使用 的數據分析SDK碼(備註1),竟源自於一家註冊在中國北京市政府的數據公司。進一步調 查全台前十大金融機構後,發現至少3家銀行、券商疑似面臨相同危機。這次事件凸顯台 灣金融機構在資安管理上的重大挑戰,尤其該SDK具備強大追蹤能力、能蒐集客戶交易數 據,若數據回傳北京,恐對台灣數據安全與金融機構信譽造成嚴重影響!《三立新聞網》 記者循線一一追查,並找來了資安專家A大,一同揭露這件原來早就被金融業內精英熟知 ,但外界卻毫無所悉的極機密內幕! 只見A大熟練地拿出電腦,先是打開最普通的瀏覽器,輸入該家一開始被爆料的金融機構 網址,進入其官網後,再打開後台的應用程式,意外發現網頁程式碼最底層,藏著一串由 英文字母及數字組成的代碼「SensorsData2015jssdkcross」。 看到這串碼「sensorsdata2015jssdkcross」,連A大都很震驚,他帶著疑惑一邊對著《三 立新聞網》的記者:「SensorData的SDK怎麼可以埋在這裡?!Sensors data是大陸的一 家公司,在我們(資安)業內非常有名。」 A大接著說,雖然跑出來的資料顯示,這SDK存放在地端,資料會回傳給該金融機構,「但 這串碼的背後,有沒有被設後門,資料會不會因為後門同步傳回北京,這都是很難說的呀 !這家金融機構怎麼可以使用由一家北京公司寫出來的程式碼?這有問題吧!」 開無痕模式 SDK也能追 更可怕的是,當A大展示了這串程式碼給記者看後,不經意地說了一句話,記者聽完後深 深吸了一口氣,整個人甚至起了雞皮疙瘩。A大說:「這個SDK碼,是連在無痕模式下,都 能有效追蹤的!」 也就是說,即便你使用「無痕模式」去到銀行、證券存匯款或做股市下單交易,同樣會被 這家SensorData公司的SDK碼追蹤到,可以說是完全無處可逃。 A大再打開另一個軟體來驗證,對應後台跑出來的技術分析之處,其顯示出來的公司名稱 也仍是Sensors Data,該軟體還法楚地把該公司的品牌logo顯露出來,是一個綠字寫著大 大的S。不只Sensors Data有埋設SDK碼,連Google的GA( Google Analytics)也有受託 埋設追蹤在此。A大表示:「這很奇怪,既然這家金融機構已經委託了Google,為什麼還 要讓SensorData的追蹤碼入列,等於重工了!而且SensorData對台灣來說,又是一間相當 敏感的公司!這兩面手法玩得實在讓人摸不清頭緒!」 《三立新聞網》記者調查,從A大使用的另一個軟體驗證出來的logo,與中國大陸一家名 叫北京神策的公司logo完全符合,而且該公司於微信(wechat)公眾號即為 sensorsdata2015。另,記者也找到了該公司在網路上,教導旗下學員如何將「 sensorsdata2015jssdkcross」應用於cookies的心法教學,並有詳細的操控步驟SOP可遵 循。 備註1:所謂的SDK(Software Development Kit,軟體開發工具包)是許多網站或應用程 式為了方便進行數據分析而使用的工具,能夠收集用戶的行為數據,並傳回到後台系統進 行分析。全球知名的Google公司,其用來做數據分析的GA,使用的正是SDK追蹤碼。然而 ,這些數據可能不僅僅回傳到該金融機構的伺服器,還有可能被傳回中國境內的伺服器, 這對於用戶隱私及國家數據安全構成了潛在的重大風險。 -- 吐槽點太多了以至於無法分辨是不是反串。 -- ※ 發信站: 批踢踢實業坊(pttbestweb.org.tw), 來自: 101.12.162.137 (臺灣) ※ 文章網址: https://pttbestweb.org.tw/Soft_Job/M.1728635518.A.7E2
chihlee5566: A大牛逼 10/11 17:11
zxc8787: 所以是哪間金融機構啊? 10/11 17:32
dailylily: 神策官網沒顯示這家了 以前銀行證券都在合作夥伴上 10/11 18:22
neo5277: SDK新解~~XD 10/11 18:29
lazarus1121: 無痕下單感覺很強,連券商都不知道是誰下的單 10/11 19:01
art1: 連結消失了耶?記者怎麼會發現這篇在胡扯一通?XDDDD 10/11 20:09
WTS2accuracy: 政府販賣恐懼 鞏固政權 XD 10/11 20:30
TSMCfabXX: set 的新聞, set 的新聞 10/11 20:38
jimmily: 整篇看不懂在寫三小,為了販賣恐懼寫出這種垃圾新聞 10/11 21:40
luweber88: 所以哪間? 10/11 22:24
luweber88: 話說連結484掛了 10/11 22:25
asadman1523: 政府資安比較嚴格是正常 10/11 23:37
Lomonosov: 當劇本在寫XD 10/11 23:43
viper9709: 整篇看不懂+1 10/12 00:58
kurtsgm: 刪文了喔? 今天早上看到這篇就覺得翻車機率很大 10/12 01:01
guanting886: 神策很有名啊 是那個傻子硬要報 10/12 01:02
tsaigi: 笑死 這樣下架484有打到自己人 10/12 02:39
CoNsTaR: 遭埋 sdk... 臺灣記者真的太好當了 10/12 05:29
airtsubasa: 三立 顆顆 10/12 06:59
sdyy: 垃圾新聞 10/12 10:08
kurtsgm: 記者不會自己知道什麼SDK什麼JS啦....八成是這個不知道哪 10/12 10:41
kurtsgm: 來的半桶水工程師「A大」跑去找記者的 10/12 10:41
aquablue: 真是媒體製造業.. 10/12 12:16
accoduies: 勒公三小 10/12 13:13
WaterLengend: 我還以為到股板 10/12 13:31
Ekmund: 呃...20幾年前的政爭抹黑文的程度 10/12 14:13
poorenglish: 又是set的嗎?XD 10/12 14:51
LoveMoon: 三小A大,XD 10/12 15:27
TaiwanUp: 用小動物造謠的概念 10/12 16:21
leon1757tw: https://i.imgur.com/nxvdT8H.jpeg 10/12 19:11
leon1757tw: 這個A大 10/12 19:11
jonathan793: 防火牆很難攻破.jpg 10/12 20:04
aria0520: 笑死 10/12 21:59
dongdong0405: A大是哪裡畢業的 講出來給大家笑一下 10/12 22:12
Nitricacid: SDK 三小 記者現在連 Google 都不會了嗎== 10/12 22:34
nayeonmywife: 前端的數據分析 GA 啊這到底是在怕三小 還以為是伺 10/12 23:26
nayeonmywife: 服器端,無痕模式就不會做數據分析嗎 10/12 23:26
ajim36: ncc真的是死人,這種摧毀國家金融信任的叛國行為都不用停 10/13 01:19
ajim36: 牌 10/13 01:19
acgotaku: 其實不能說埋前端就沒事拉,誰知道 data 有沒有 encrypt 10/13 02:58
acgotaku: 不過現在都走 oauth 不應該能取得任何機敏資料 10/13 03:00
acgotaku: 但是我必須說 現在卷商的開戶網頁寫的是真的很陽春 10/13 03:01
acgotaku: 有一次開戶完,因為過程太粗糙怕是吊個資網站,我就把網頁 10/13 03:02
acgotaku: endpoint 拿掉,居然能到路由路口....後來隔天跟卷商確認 10/13 03:04
acgotaku: 才放心這個不是釣魚網站 不然那粗糙程度真的很像詐騙 10/13 03:04
guanting886: 這工程師大概不知道有CDP這種的東西,以為有GA 公司 10/13 10:27
guanting886: 的其他團隊就不需要其他的系統 10/13 10:27
guanting886: 這類系統本來就是拿來收據客戶數據用的,架在地端的 10/13 10:28
guanting886: 目的就是資料不要送到人家的系統上 單純買授權用他 10/13 10:28
guanting886: 的軟體 10/13 10:28
guanting886: 我看下次如果新聞還硬要寫文,可以去開HPE伺服器上 10/13 10:30
guanting886: 面的iLO或DELL的iDRAC切成簡體中文 看會不會有資料 10/13 10:30
guanting886: 送回北京 10/13 10:30
guanting886: 有幾分證據就講幾分話 這種用猜的東西非常不可取 10/13 10:32
guanting886: 遭埋SDK這種標題都下 ..== 10/13 10:37
stepnight: 你怎會覺得記者會做 10/13 11:25
ToastBen: 三立真的是笑死人 10/13 12:31
tanby: 表示都沒有去查證新聞內容 唉 10/13 18:15
hegemon: 以台灣記者的程度,你覺得查證後他們看得懂? 10/13 18:58
gs8613789: 完全看不懂在寫什麼,被埋SDK是什麼邏輯 10/13 22:34
jobintan: 我估摸著大多數文組記者連這詞的啥意思都不想查,看到沒 10/14 08:15
jobintan: 見過的詞就覺得很牛批,然後就發新聞稿了。wwwwwwwwwwww 10/14 08:15
zxcasdjason1: 把GA當免費的log服務用還不錯 10/14 11:17
zxcasdjason1: 除ga紀錄你商業行為外,如操作ui失敗導致客戶的跳 10/14 11:31
zxcasdjason1: 出也是網站很需要優化的部分,實作上做法很相似, 10/14 11:31
zxcasdjason1: 但分析重點可能完全不同 10/14 11:31
zxcasdjason1: 這串碼甚至估狗得到廠商,覺得做法上跟這記者講得 10/14 11:37
zxcasdjason1: 完全兩件事。想起以前也會看到新聞在橋樑工程看到 10/14 11:37
zxcasdjason1: 保麗龍,就說這是偷工的不專業報導很相似的 10/14 11:37
dildoe: 台灣記者比彭博小說家還猛XD 10/15 21:34
InvincibleK: 寫"埋程式碼"比較正確吧? 10/16 08:27
Killercat: 我是不太懂銀行規則啦 但是神策其實滿常見的 10/17 23:13
Killercat: 幣安也是有部分是用神策在分析 繞這塊打不知道在打殺小 10/17 23:13
s12358972: A大他媽誰,資安社群大佬那麼多,想見識一下 10/22 23:05