許多人昨(22)天上午 9 點都在等著五倍券數位綁定,無奈當機狀況又發生了,有網友在 PTT 八卦版問卦「誰有搶到台灣 Pay 綁郵局的!是誰!!!!」意外釣出網友回文,發現郵局的資安大出包。
昨天幾乎所有金融機構綁定五倍券都因流量問題無法正常提供服務,而可以連上線的,卻無法收到 OTP 驗證簡訊。然而,PTT 網友卻意外發現,郵局直接將 OTP Code 埋在了 F12 開發者工具可以查到的地方當中,以資安角度來看「完全不及格」。
民眾須特別注意資安,別點不明五倍券連結
趨勢科技資深技術顧問簡勝財指出,這可以說是程式設計過程中有嚴重的瑕疵,開發者將驗證回傳至瀏覽器當中,造成 OTP Code 直接放在網頁上,沒經過使用者手機、不需要經過雙重認證就能取得。這也造成昨日想要用台灣 Pay 綁郵局的民眾,即使在網站塞爆、OTP Code 完全沒有作用之下,仍可以透過這個「漏洞」成功綁定。
趨勢科技指出,若 OTP 可直接從瀏覽器可以取得,將能避開經由使用者的其他上網裝置進行身份驗證的程序,可能產生被冒用帳號的風險。
特別是若有心人士利用可避開 OTP 驗證的系統設計疏失而得以登入其他人的帳號,並連接至網銀帳號或是社交軟體帳號等,恐怕就會造成重大的資安風險,如財物損失或個資外洩。雖然本次郵局綁定五倍券的系統設計瑕疵並無觀察到有被連接至後端網路系統的案例,但趨勢科技仍呼籲,企業在開發 App 或網頁時,都必須導入資安流程與概念。
至於消費者與一般民眾,簡勝財則建議,駭客喜歡透過熱門話題與時事,例如現在最夯的五倍券來騙取民眾個資,因此在進行五倍券的數位綁定時,千萬要透過官網進行綁定,不要點開友人傳送的不明連結,甚至是在不明網站上輸入個資進行綁定,否則可能落入駭客的釣魚陷阱當中。
五倍券是國家級的數位服務,如今卻被爆出嚴重資安漏洞,這是否代表台灣的資安意識,從政府到企業都還有待加強?
洪偉淦:DevSecOps 觀念不可少,政府、企業都需學習
趨勢科技台灣區暨香港區總經理洪偉淦接受《TechOrange》採訪時表示,台灣的資安意識其實一直有在提升,不能因為這起資安事件就否定台灣的資安意識,他提醒,這起事件其實能讓台灣政府、企業、開發者共同看到另一個值得注意的觀念。
洪偉淦解釋,「如果是長久在使用的數位服務,通常都會經過較為嚴謹的資安查核」,但五倍券為國家為特定目的迅速開發出來的系統,而這個系統在被開發時,並沒有把資安因素考慮進來,就成為了開發過程中的瑕疵,被發現後自然造成資安破口。
這起事件,比起資安問題,洪偉淦認為更大的問題是使用者體驗不佳。「只要有什麼熱門服務要上線,第一天就一定會掛掉!」當使用者遲遲等不到 OTP Code 時,自然就會想方設法看看有沒有漏洞可以取得。
「過去真正需要開發軟體的公司不多,頂多就是網頁。」但外部環境正在改變,越來越多事物需要依賴數位工具完成,也就有了更多的軟體需要被開發。
洪偉淦說,郵局也並非自己開發了這個網頁,但未來隨著數位轉型需求越來越多,無論是企業自行開發、委外開發,都必須更加注重資安,同時更迅速提供給使用者優質的服務,這是政府與企業都需要共同學習的。
洪偉淦提到,開發者與企業必須越來越重視與學習 DevSecOps 的觀念,也就是未來在快速開發軟體/服務時,如何顧及使用者體驗,包括流暢度、順暢度以及安全機制,「因為這就是軟體開發的原則」。
雖然目前郵局已將該漏洞修補,但如今疫情快速推動產業數位化,資安的架構也必須及早思考,而非事發之後再亡羊補牢。
SailPoint 台灣區資安架構師曾心天也鼓勵所有企業,在選擇擴大或是採用數位化方案之前,先進行資訊安全評估,至少先思考數位後可能帶來的安全風險再踏出去。
「很多 IT 部門迫於壓力可能都會先把服務推出再說,但每一個新上市的服務都有可能變成駭客的遊樂場。」畢竟在讓用戶享受順暢方便的新功能的同時,惡意攻擊者也正在暗處,找尋可能的安全漏洞。
