大洸醫院管理顧問股份有限公司推出醫療院所數位支付工具「醫指付」,獨家讀者大洸今年傳出盜刷災情,爆駭報醫有民眾向數位發展部陳情,客協牽動衛生福利部、會去金融監督管理委員會,年月諾使還有為數不少的已通醫管用建議受害者,都在等大洸醫管給個交代。指付
從事網站設計的漏洞讀者S向《關鍵評論網》投訴,台灣駭客協會(HITCON)的提改資安漏洞通報平台ZeroDay早在去年6月就發現密碼太簡單,容易造成大量資訊外洩。善承去年通報後遲未收到修補回報,獨家讀者大洸若該公司早點處理,爆駭報醫或許現在就不會盜刷成災。客協
對此,會去大洸醫管表示,年月諾使最近兩個月才聽聞有盜刷事件,刻正積極處理中。大洸醫管並承諾,最慢2週找出漏洞並向社會大眾說明,今年底App改版,將改採6位密碼並加上登入成敗通知。
在問題釐清前,大洸醫管建議使用者3個因應方式,第一是改用額度低的信用卡,第二是改用以餘額付款的一卡通,第三是付款前再綁卡,付款後立即取消綁定。
醫指付密碼太簡單,駭客協會去年6月就發現大有問題
S與哥哥需要陪父母到大醫院回診,「醫指付」讓他們輕鬆許多。S說,就醫後只要有手機就能立即付款,不需排隊結帳,而且一支手機可註冊多位眷屬,可輕鬆為家人付繳費。
根據大洸醫管公司官網,醫指付與30家銀行、135家醫療院所合作,使用者只要綁定信用卡、輸入4位數字密碼,就完成支付,今年起一卡通也能用。
今年5月,S綁定醫指付的信用卡在國外被盜刷,因為同張卡還有綁定其他App,還不敢肯定問題出在哪裡。後來S聽哥哥說,他已被盜刷兩張卡,兩張都綁定過醫指付,S才驚覺有異。S上網搜尋發現,PTT、mobile01 都有很多人回報被盜刷,Google Play也被刷滿一星負評,許多受害者就只有綁定醫指付的那張卡被盜刷。
更令S訝異的是,台灣駭客協會(HITCON)的資安漏洞通報平台ZeroDay早在2022年6月21日就有「醫指付app安全漏洞」通報紀錄,平台明確指出「過於簡單之密碼,可經由該問題取得後台完整權限,且容易造成大量資訊外洩。」
S說,醫指付帳戶綁定手機,密碼只有4位數字,但沒有任何防護或多重認證機制。無論密碼輸入正確或錯誤,都不會收到通知或警告,等於是只要嘗試一萬次,就能暴力破解密碼。ZeroDay也提醒,一旦破解密碼,登入後可以看到使用者自行設定的親友資訊(姓名身份證),還能看到就醫的交易紀錄(時間、地點、信用卡資訊)。
ZeroDay去年的通報處理狀態始終停留在「未回報修補狀況」,直到今年8月負評四起,大洸醫管8月7日在臉書發布聲明,強調所採用的AWS(Amazon Web Service)雲端儲存方案已獲得最高等級認證,可保障交易安全。為杜絕境外盜刷,大洸醫管也宣布關閉國外IP連線,等於是取消由海外親友代為付款的功能。
大洸醫管回應盜刷事件,被專業者看出不懂資安
大洸醫管的聲明不但不能止血,反而引起資安專業社群的不以為然。擁有1.4萬名社員的臉書公開社團「雷神講堂」當天就評論道「AWS拿到PCI-DSS Level 1 認證關你家什麼事啊?...自己的軟體進駐之後,就要自己負擔所有資源裡面的資料管理,以及軟體弱點的安全責任。」雷神講堂直言,大洸醫管的說法只是顯示該公司對於資安防禦「一點概念也沒有。」
「這份聲明就是在標榜他的大門用多高級的材質,但如果有人把鎖偷走了,門板材質再高級又有什麼用?」S說,醫指付的登入密碼和刷卡密碼是一樣的,刷卡後沒有二次認證,密碼輸入錯誤無限次也不擋、不通知,「連這麼基本的資安問題都沒處理到,可以合理懷疑它還有更多漏洞。」
一個多月過去,大洸醫管9月11日發出第二份聲明,強調已啟動資安應對機制,將委請資安鑑識機構儘速追查問題。目前已執行主機弱點掃描、滲透掃描、源碼掃描,同時更換加解密金鑰、加強異常監測及紀錄機制。
大洸醫管承諾2週內找出漏洞、年底改版App,給消費者3建議
大洸醫管總經理、台灣私立醫療院所協會秘書長吳明彥昨(13日)接受電話採訪表示,7、8月陸續聽聞盜刷問題,後來有民眾去向數位發展部陳情。公司已委託台灣最大的資安公司來進行鑑定,預計最快7天、最慢14天,就能知道哪個環節出問題。完整鑑定報告會交給數發部、金管會、衛福部,也會向社會大眾說明。
吳明彥表示,醫指付至少用過一次使用者約有100萬人,每月交易量約17萬筆,每月交易總金額約7億元;絕大部分都是小額交易,只有少數開刀接受特殊治療的金額較高,最高曾有單筆75萬、100萬元的紀錄。他說,現在還不能確定「是我們這邊漏,還是銀行端漏」,但他認為不會是密碼的問題。
吳明彥強調,四位數密碼是付錢用的,但密碼登進去也看不到卡號。要經過兩端授權、持有解密金鑰,才能看到加密過的卡號資訊,但也不能排除駭客很厲害,可以部分解密。預計今年底App會完成改版,將改為6位數密碼,並加上登入成敗的簡訊通知。
年底才完成改版,中間這段時間,消費者該怎麼辦?吳明彥說,本週二(12日)已與135家合約院所緊急開線上會議,討論出三個建議,提供擔心盜刷的消費者參考。首先是改綁定額度較低的信用卡,再者是改用以餘額付款的一卡通,這兩種做法可以減少盜刷的金額,第三種作法則是「使用前再綁卡,用完立刻取消。」