中信網銀曝設計瑕疵

日前有網友在討論區質疑，中信銀的網路銀行存在帳戶資訊外洩的問題。中信銀對iThome電腦報周刊證實，該系統確有小瑕疵，可能會在特定狀況下造成帳戶資料外洩，但不會影響網路銀行交易的安全。資安專家指出，雖然這個瑕疵目前看來是低風險，但不能排除有心人士以此發展出其他手法的可能，呼籲中信銀能及早修正。

資安專家指出，這個網路銀行系統設計的瑕疵，是Session ID沒有與使用者的電腦綁定。當網路銀行使用者登入系統後，網路伺服器會產生一個獨特的Session ID（連線ID），用以代表使用者的電腦，在接下來的網頁瀏覽過程中，網路伺服器就能據以辨識使用者，提供相對應的服務。

因為Session ID沒有綁定使用者的電腦，所以中信網銀的使用者登入系統後，在尚未登出或關閉網頁前，將URL傳給其他人，由於該網址已帶有Session ID，因此在其他電腦上亦可同步瀏覽該人的帳戶資訊，如此他人即可跳過系統登入的程序。

中信銀個人金融總管理處經營策略部CRM部副總經理魏爾彰表示，中信銀得知網友的質疑後，立即測試，發現確有此問題。他也說，一旦使用者登出、關閉網頁，該Session ID即無效；使用者在5分鐘內沒有任何瀏覽動作，系統亦會自動登出，使得Session ID無效。若使用者不將連線網址提供給他人，造成資料外洩的風險就非常低。他表示，網路銀行使用者有保護自己帳戶帳號、密碼的責任與義務。

魏爾彰表示，中信銀的網銀系統自2000年上線，7年來系統架構都相同，迄今尚未有任何人因為此一系統設計瑕疵而導致任何交易損失。他表示，中信銀針對網銀的交易已設有OTP（動態密碼）。網銀使用者在進行各種轉帳交易前，中信銀會先將OTP以簡訊發給使用者，網銀使用者必須輸入OTP以再次確認身分。他表示，即使他人在網銀使用者瀏覽網頁的同時也取得相同的網址，但缺乏OTP作為身分認證，亦無法進行任何交易。

魏爾彰說：「目前該設計瑕疵並不影響交易安全，在成本與安全的雙重考量下，中信銀暫且不會對此做任何的更動。」他表示，中信網銀預計在明年進行一波較大規模的平臺升級，屆時會對系統做通盤考量，一併解決相關問題。

一位不願具名的資安專家分析，這個設計瑕疵的風險並不高，主要是帳戶資料潛在外洩的風險，對於交易安全的直接影響極低。因為中信銀以電信系統發送簡訊OTP ，既採用不同的平臺發送密碼，又採取第二道動態密碼驗證，要被盜取或轉走帳戶內的金錢，機率相當低。他指出，雖然不少網站都有未隱藏Session ID的問題，但對於安全性要求較高的銀行業者，他認為：「隱藏Session ID是保障使用者資訊安全的第一步。」

另一位不願具名的資安專家表示，中信銀應該要做到同時只能由一臺電腦請求Session ID，不能讓不同的電腦都可請求同一Session ID，甚至更嚴謹一點，要做到即便是同一臺電腦，不同的Session也不能互看。他指出，在動態密碼的把關下，有心人士無法單獨利用這個設計瑕疵來盜走帳戶金錢，但是，不能排除詐騙人士藉由竊取帳戶資訊，佐以詐騙手法取信於受害者，進而騙取其他密碼。他表示，即使此設計瑕疵的受駭機率不高，但呼籲中信銀及網銀使用者要審慎以對、及早修正。

魏爾彰表示，目前中信銀已有任務型與常態編組團隊，持續監控網路銀行的運作。中信銀會針對各種可能的攻擊與詐騙手法，研究相關的防禦方法。文⊙黃彥棻