財經中心/李宜樺報導
▲《三立新聞網》針對台灣前十大銀行、券商官網中的SDK追蹤碼,進行資安總體檢,意外發現至少有三家以上的銀行、券商被一家註冊在北京市政府的數據分析公司,埋入SDK碼追蹤使用者行為。(圖/三立新聞網製)
近年來,資安問題成為全球金融市場的焦點,日前多家金融機構因資安漏洞遭金管會開罰。《三立新聞網》記者接獲爆料,一家剛大肆宣傳自家獲獎的金融機構,其官方網站使用的數據分析SDK碼(備註1),竟源自於一家註冊在中國北京市政府的數據公司。進一步調查全台前十大金融機構後,發現至少3家銀行、券商疑似面臨相同危機。這次事件凸顯台灣金融機構在資安管理上的重大挑戰,尤其該SDK具備強大追蹤能力、能蒐集客戶交易數據,若數據回傳北京,恐對台灣數據安全與金融機構信譽造成嚴重影響!《三立新聞網》記者循線一一追查,並找來了資安專家A大,一同揭露這件原來早就被金融業內精英熟知,但外界卻毫無所悉的極機密內幕!
更多新聞:機敏個資流中國2/駭人!北京神策在台券商網埋碼 竟疑為台人牽線?
▲▼《三立新聞網》記者進入銀行、券商後台內網後,意外發現至少有三家以上的銀行、券商,後台被埋入一串SDK追蹤碼「sensorsdata2015jssdkcross」,而這串SDK碼竟與登記在中國北京的一家數據分析公司有關,與爆料相符。(圖/翻攝自網路)
只見A大熟練地拿出電腦,先是打開最普通的瀏覽器,輸入該家一開始被爆料的金融機構網址,進入其官網後,再打開後台的應用程式,意外發現網頁程式碼最底層,藏著一串由英文字母及數字組成的代碼「sensorsdata2015jssdkcross」。
看到這串碼「sensorsdata2015jssdkcross」,連A大都很震驚,他帶著疑惑一邊對著《三立新聞網》的記者:「SensorData的SDK怎麼可以埋在這裡?!Sensors data是大陸的一家公司,在我們(資安)業內非常有名。」
A大接著說,雖然跑出來的資料顯示,這SDK存放在地端,資料會回傳給該金融機構,「但這串碼的背後,有沒有被設後門,資料會不會因為後門同步傳回北京,這都是很難說的呀!這家金融機構怎麼可以使用由一家北京公司寫出來的程式碼?這有問題吧!」
開無痕模式 SDK也能追
更可怕的是,當A大展示了這串程式碼給記者看後,不經意地說了一句話,記者聽完後深深吸了一口氣,整個人甚至起了雞皮疙瘩。A大說:「這個SDK碼,是連在無痕模式下,都能有效追蹤的!」
也就是說,即便你使用「無痕模式」去到銀行、證券存匯款或做股市下單交易,同樣會被這家SensorData公司的SDK碼追蹤到,可以說是完全無處可逃。
A大再打開另一個軟體來驗證,對應後台跑出來的技術分析之處,其顯示出來的公司名稱也仍是Sensors Data,該軟體還法楚地把該公司的品牌logo顯露出來,是一個綠字寫著大大的S。不只Sensors Data有埋設SDK碼,連Google的GA( Google Analytics)也有受託埋設追蹤在此。A大表示:「這很奇怪,既然這家金融機構已經委託了Google,為什麼還要讓SensorData的追蹤碼入列,等於重工了!而且SensorData對台灣來說,又是一間相當敏感的公司!這兩面手法玩得實在讓人摸不清頭緒!」
▲▼資安專家使用那一個後台驗證軟體查證,分析欄處也跑出Sensors Data,一旁該公司logo,是一個綠字寫著大大的S,證實為登記在中國北京的一家公司,名叫《神策數據》。(圖/翻攝自網路)
《三立新聞網》記者調查,從A大使用的另一個軟體驗證出來的logo,與中國大陸一家名叫北京神策的公司logo完全符合,而且該公司於微信(wechat)公眾號即為sensorsdata2015。另,記者也找到了該公司在網路上,教導旗下學員如何將「sensorsdata2015jssdkcross」應用於cookies的心法教學,並有詳細的操控步驟SOP可遵循。
▲神策官方的影片中,出現sensorsdata2015的字樣,是他們的微信小助手id號。(圖/翻攝自網路)
備註1:所謂的SDK(Software Development Kit,軟體開發工具包)是許多網站或應用程式為了方便進行數據分析而使用的工具,能夠收集用戶的行為數據,並傳回到後台系統進行分析。全球知名的Google公司,其用來做數據分析的GA,使用的正是SDK追蹤碼。然而,這些數據可能不僅僅回傳到該金融機構的伺服器,還有可能被傳回中國境內的伺服器,這對於用戶隱私及國家數據安全構成了潛在的重大風險。
5 顆 
10 顆 
15 顆 
20 顆