全國繳費網爆資安破口
三十秒偷走你的存款 無須密碼輕鬆轉
許多民眾為了方便和節省時間,會選擇網路付費平台繳納信用卡、小孩學雜費和公共事業費用,甚至銀行貸款等民生支出。本刊調查,透過中央銀行轉投資的「財金資訊股份有限公司」(財金資訊公司)所建構的「全國繳費網」網路平台(電腦版與手機App皆有),可以繳納全台近二千家事業機構費用,然而,要命的是它竟然潛藏不少資安漏洞,倘若身分證字號和銀行帳號遭有心人掌握,在鍵盤和滑鼠游移三十秒,你的存款將無聲無息地被乾坤大挪移!
網路時代造就「宅經濟」,只要透過手機介面,就能滿足食衣住行育樂的需求,但是只要稍有不慎,個人財富也可能消逝在彈指之間。從事餐飲業的小君(化名)自爆,月前她接獲警方通知,表示個人的帳戶遭到盜領,「我原本以為這是詐騙電話,結果到銀行補登存摺時,發現帳戶裡真的少了五萬元,怎麼會這樣!」小君報案後,發現已成立近十六年的「全國繳費網」出現資安漏洞,警方循線逮獲一名二十六歲的賴姓男子(賴男)。
合作對象 逾一千八百家
「全國繳費網」的服務範圍遍及三十二家信用卡費、五家電信費、七家交通費、十一家公共事業費、二百零七家醫療費及三百一十四家學雜費等逾一千八百家事業單位的繳費項目,為全台最多樣化的繳費網站。 警方調查,賴男有次操作「全國繳費網」償還貸款時,意外發現可以使用他人的身分證字號和金融帳戶,替自己「還債」。不久後,他再度面臨貸款繳費期限,恰巧看見從事房仲業的哥哥把客戶資料帶回家整理,便趁機從中抄下多名客戶的身分證字號和個人金融帳號,透過「全國繳費網」,神不知鬼不覺地利用陌生人替自己還債。 食髓知味的賴男,深入「研究」後又發現,「全國繳費網」存在更大的資安漏洞,只要透過「繳納貸款」的選項,就能把他人的金融帳戶存款,隨意移轉到任何一個和「全國繳費網」合作的金融機構個人帳戶,即使不是貸款帳戶也可以。賴男除了偷走小君的五萬元,今年三月間,他也分三次「移出」新北市林姓女子的十五萬元存款。此外,賴男還盜用其他人的金融帳戶,償還每月一萬兩千元的貸款,享受著「手動錢來」的快感。
繳納貸款 無須任何驗證
本刊記者實測電腦版「全國繳費網」,在繳納信用卡費或eTag國道電子收費儲值、停車費等時,填上非本人的帳號,都顯示「交易失敗」、「身分證字號或營利事業統一編號錯誤」的訊息。 不過,在「繳納貸款」項目裡,本刊記者先填上友人的銀行帳號與繳款金額,再到下一頁填上自己的身分證字號與銀行帳號,按下「確定送出」後,竟顯示交易成功;本刊記者接著查驗彼此的銀行帳戶,確認交易成功,意謂著「全國繳費網」不須密碼驗證,就能無聲無息地把別人的存款轉到自己的帳戶償還貸款。 此外,本刊記者的帳戶款項遭轉出後,也沒有接獲銀行通知。螢幕上出現的繳款方式說明「使用活期性存款帳戶(不須讀卡機,且只能繳本人帳單)」,看來實在相當諷刺。
立委砲轟
二○○四年九月建置的「全國繳費網」,是銀行公會主導建置的示範性網站,目的是結合金融機構及事業單位,提供民眾即時網上繳費的跨行服務。二○○五年七月,「全國繳費網」正式上線,初期提供水、電與瓦斯等多項公共事業費用的繳費服務;財金資訊公司之後又分別與其他公用事業單位合作,整合自動化繳款通路,因此「全國繳費網」的服務範圍愈來愈廣,邁向即查、即繳、即銷的電子化服務。 為了因應智慧型手機快速發展,二○一四年間,財金資訊公司更推出手機版「全國繳費網App」。民眾透過手機即可查詢應繳金額,立即進行繳費,而事業單位收到繳費成功通知時,也會馬上進行預銷作業。 立委曾銘宗痛批,「全國繳費網」由財金資訊公司建構,又是中央銀行轉投資,如今出現那麼大的漏洞,真的非常可怕。「財金資訊公司的主管機關中央銀行與金管會,一定要徹底調查程式設計與推廣流程有無瑕疵,如果一切屬實,就要立刻彌補轉帳漏洞,增加驗證機制,也一定要究責。」 對於「全國繳費網」出現資安漏洞,財金資訊公司人員表示「絕不可能」,並強調網頁已註明「只能繳本人帳單」;但本刊記者向對方舉出實測交易成功的案例,不到二小時,該案例中的銀行即派資訊人員來電表示「銀行程式出現小錯誤,目前已修正,不會再有類似情況了。」本刊記者再度實測,果然已無法任意轉帳;但由於事涉多家金融機構,民眾最好還是謹慎求證,以保護個人權益。