讀卡機洩個資《蘋果》記者目擊測試成功

高手爆料

晶片金融卡發行超過四千七百八十萬張，網路ＡＴＭ用戶逐年增加，年交易金額已超過四千億元。據財金資訊公司資料，網路ＡＴＭ有安全、便利及全年無休特性，且晶片卡以動態方式產生交易驗證碼，無法被偽造，資料也無遭側錄風險。

網路ＡＴＭ不夠安全

擁有科技專業背景的Jim說，他發現的漏洞出現在網路ＡＴＭ交易，實體ＡＴＭ則無；他說，讀卡機與電腦作業系統溝通時，會洩露晶片卡未加密的驗證資料，若再趁機偽造一個交易驗證碼的請求，設定未來時間、交易金額等，晶片卡就會依此產生合法的交易驗證碼，藉此進行「未來轉帳交易」。Jim並以自己的晶片卡實驗，測試五家銀行晶片卡皆成功闖關，並在記者面前實測，確認可完成餘額查詢交易。

《蘋果》請資訊安全及防治電腦犯罪等資安專家檢視，多數認為沒晶片卡仍可完成交易，機制確實有問題。中華大學資訊工程系助理教授王俊鑫說，這顯示銀行無法辨識卡片真偽，且因交易資料及驗證碼在傳輸過程未全程保護。

詮力科技總經理姜冠宇說，「交易驗證碼不該有規則，可能銀行為省成本、偷懶，才會被人抓到規則。」資訊安全顧問小邱說，「以現況來看，顯然沒有完全消弭風險。」資安顧問trueman說，「網路ＡＴＭ交易安全機制設計可再嚴謹些。」《資安人》雜誌總編輯侍家驊說，使用者不能以為使用晶片卡就萬無一失，最基本要做到維持防毒軟體及作業系統在最新更新狀態。

銀行公會金融業務電子化委員會副主任委員羅安昌認為，實驗者用自己的卡，讓該次交易延遲到未來進行，「用自己的東西玩玩可以」，整個交易過程還有隱藏的安全機制保護，「離把錢轉走還差很遠。」

「不知多少錢會轉走」

金管會銀行局長桂先農則說，希望有能力破解網路ＡＴＭ交易安全機制的人，可以向銀行局陳情，該局會進行了解。財經立委羅淑蕾表示：「人家已能破解到這樣，全部破解出來不知道被轉走多少錢，銀行應先做防範措施。」財經立委賴士葆說，若有疑慮，「業者應再增加安全防護。」

網路ATM交易 注意事項

●電腦作業系統要更新到較新版本，且更新最新電腦軟體安全套件或增修版本
●盡量使用約定帳號轉帳
●交易時才將晶片金融卡插入讀卡機，完成交易後立即取出
●電腦應安裝防火牆及防毒軟體，並定期更新病毒碼，避免與他人共用電腦，或連結至不明網站、下載不明資料，或於公用電腦（如網咖）輸入個人密碼
●使用無線上網時，不要使用網路ATM服務
●不要透過公眾電腦使用網路ATM服務
●進行網路ATM交易，選擇具顯示幕及鍵盤，可確認交易及輸入密碼的二代讀卡機，會較一代讀卡機安全
資料來源：財金資訊公司

資料來源: 蘋果日報 2010/3/26

相關新聞連結: 劍橋大學學生發現晶片卡交易機制的漏洞 http://blog.udn.com/t8830209/3787391