Sunday, May 10, 2009

Bank of Communication: we can decrypt and obtain user PIN(password)

A source has confirmed this illegal conduct has been used by branches of Bank of Comm, which is caused by a bug/design feature of password generation algorithm implementation. They have been using it for their customers for "retrieving" forgotten password, also have been used by criminals (may relate with staff).


Original posted in (which can be read by Google Translate

http://www.tianya.cn/new/publicforum/content.asp?idwriter=2937062&key=0&idArticle=271199&strItem=develop&flag=1#Bottom

444_hyz 提交日期:2009-5-10 16:43:00 访问:6088 回复:36
交通银行出大事了!!!!
  有钱千万不要存交通银行!!!
   你快查一下: 你存交行的钱还在吗?
   交通银行反推客户的取钱密码!
  央视315晚会节目组:
  一个拥有几千万用户、涉及资金几亿元、大众天天使用的产品——交通银行信用卡,存在一个非常重大的缺陷,该缺陷已经造成相当数量的消费者经济损失,而且还将继续损害消费者利益。最为可耻的是“产品”生产企业——交通银行却将责任完全推给消费者。
  
  银行卡是今天中国人几乎天天在使用的一个“产品”,它是由发卡银行提供的一项服务。你的血汗钱(权益)仅仅由一张卡片和密码所决定。而且该卡片也只是磁条信息有用。因此银行提供的“产品”银行卡最为关键的是二组数字,卡号和卡密码。当别人知道了你的卡号和密码时,你卡内的资金就可能是别人的了,因为在今天条件下制作一张伪卡只是在一张磁卡的磁条上写上银行卡信息,这和上网一样容易。在卡号很容易取得的情况下,所有银行都无限次强调:要求用户保管好自己信用卡的密码。
  
  通常,银行电脑中存有所有信用卡用户的资料,其中有最重要的三个数据:卡号,密码,余额。卡号和余额是以明文的方式存在电脑中,只要是能进电脑的电脑维护人员都能获得。而卡密码是将用户输入的密码经过加密之后所产生的密文。为了确实保障消费者利益各银行均采取了非常先进的加密算法(通常称之为“得思”的算法)以保证银行内部不法之徒无法反推出用户的密码。否则、如果你的密码能被轻易反推出来,加上唾手可得的卡号,银行内部人员很容易制作一张伪卡,加上反推出来的密码随意取走你银行卡中的钱。
  
  交通银行的银行卡密码(存单、存折密码)是可以被反推出来的!
  
  2004年交通银行向银行内部相关部门的员工通报了一起刑事案件,交通银行江西分行一名电脑员工经交通银行内部网络进入另一外省分行,轻易取得了卡余额很大的一银行卡用户的资料,反推出该卡密码之后、制作出伪卡到北京某大型商场疯狂消费,这位蠢笨的交行人再次到同一商场消费时被接到报案(卡主人发现卡中资金莫名被消费而报案)的商场安保抓获。
  
  我是交通银行的一名员工,曾在电脑和稽核二个部门工作过。因此本人才能得到有关交通银行江西分行内部员工的取得消费者卡资料、制作伪卡、反推密码到北京商场消费、最后被抓的案件情况(这个案件交通银行对外是绝对保密的)。
  
  比这个案件更为严重的是:本人有直接证据证明,交通银行的银行卡“交易密码”能由交通银行的电脑中的密码密文(加密后的结果)反推出来。本人有以下证据。
  
  1、反推信用卡查询密码的电脑程序:令人无法相信的是,交通银行电脑内有一个程序,专为反推信用卡用户的查询密码。这本身就是违法行为(银行盗窃用户的私隐信息)。尽管不可思议但却是真的。本人手中有这个程序,本人还知道这个程序是谁编的,当时编它的目的。(在日常营业中本人多次为忘记了密码的用户反推密码)。
  2、本人多次反推交行信用卡交易密码:因为工作需要,在本人使用这个反推查询密码的程序之后,经多次研究发现了能反推交通银行信用卡用于取钱的“交易密码”。在发现了交通银行信用卡这个重大问题后,本人特意在交行长沙分行电脑中找出了十户卡余额在一百万元以上的信用卡用户,取得卡号和密码密文后,分别反推出各个卡的“交易密码”。(如果本人犯罪,早已是千万富翁了)。
  3、报告交通银行总行:在反推出十个卡交易密码并证实正确后,本人分别向交通银行总行的电脑部和稽核部二个部门寄出了挂号信,信中报告了交通银行信用卡所存在的这个重大问题,为了引起重视、证实密码确能反推,本人将其中一个卡的卡号和“交易密码”作为证据写在了信中(这样做很危险,因为仅凭该卡卡号和交易密码就能轻易制作出伪卡、取出卡中的一百多万元人民币)。可惜的是总行派监察室的董姓主任(手机号:13817666807可以致电证实)来长沙,只说将用户信息写在信中很危险,却绝口不提“密码反推”问题。
  4、 提交十个已经反推出来的卡的密码:在一定的条件下,本人可以提交十个已经反推出来的卡和其对应的交易密码。尽管有很大风险。
  5、负法律责任:本人承诺对以上所述负法律之刑事和民事责任。本人能提交反推信用卡查询密码的电脑源程序,提交寄给总行二部门挂号信存根。并且承诺在有交通银行专业人士在场的情况下当众反推随机抽取出的交行信用卡卡交易密码。并书面给出反推步骤,使得他人能重复反推过程。
  
  ***注释:1、以上所述的交行信用卡是泛指交行“信用卡”和“借记卡”二种卡
   2、每张交行银行卡有二个密码:查询密码:只能查询用;交易密码:取钱一定要用交易密码。
  
  2005年新浪网报道,杭州的一位王姓女士所持的交行信用卡中的5万元钱莫名失踪,而且王女士排除了使用中被他人窃取卡号和密码。王女士将交行杭州分行告上法庭,交通银行和法院以《信用卡章程》中之规定“交行信用卡卡密码只有卡本人拥有”为依据推定:只有王女士自己保管密码不当,卡中的钱才有可能被别人取走,银行不负责任的判决。本人无法排除王女士自己泄露了卡密码的可能,但以“交行信用卡卡密码只有卡主人知道为前提推定一定是王女士泄露了自己的卡密码”显然与真相不符、有失法律的公正。如果交行江西分行员工信用卡盗窃案没有因偶然因素而破案,受害的信用卡用户只能与杭州王女士一样,交通银行将会又一次强行“陷害”卡主人自己泄露了卡密码,“因为他是卡密码的唯一知道者”,银行可以又一次不负责任。事实上还有相当多的持交行卡消费者在资金失窃后苦于没证据没有报案,只有自认倒霉罢了。
  
  信用卡是银行提供给消费者的“产品”,包含卡的相应的服务。它不同于以往特定的单一功能的实物产品。交通银行《信用卡章程》中明文指出“信用卡密码只有卡主人知道”,这是银行和消费者所签的、双方必需执行的协议,交通银行必须保证信用卡交易密码不能被反推。而交通银行信用卡交易密码能被反推出来这一重大问题证明银行明显违反了该协议。交通银行作为港沪上市的企业应转变“官商”思维,不能凭借银行的强势地位,在明知交通银行信用卡产品缺陷的情况下,隐瞒事实真相,强词夺理,玩弄法律,欺诈消费者。
  
  实事求是地说:交行信用卡交易密码能反推是交通银行信用卡“产品”设计中的一个缺陷,并非是银行管理层的故意,因为交通银行领导层深知保证信用卡密码不能反推是交行《信用卡章程》所法定的银行义务。为此,银行采用了最先进(也是最复杂)的“得思”加密算法,为了支持信用卡“得思”这种先进的加密算法银行花费了几千万人民币来购买加密设备。但是,在花费巨资后出现信用卡密码能轻易反推出来这个情况使得总行电脑部门非常尴尬,致使交通银行某些相关领导不顾本人已经反推出多个卡的交易密码的事实,强行睁眼说瞎话“不可能反推交易密码”。使得事到如今这个交行信用卡所存在的重大问题依然威胁着成千上万交行用户卡中的上亿资金的安全。所以在此本人借中央电视台315晚会向全国交通银行信用卡用户报告这一重要情况,并一起促使交通银行排除这个重大问题,保障消费者权益。
  
  如果你是交通银行的客户,你将个人毕生的血汗钱存到交行,你可要当心!因为不仅仅是交通银行信用卡的密码能被银行内部员工反推出来;最要命的是:你的定期存单、活期存折、定活一本通的取钱密码都是能用上述反推密码程序反推出来。君子不立危墙之下,你为什么不将存款取出存到别的银行,比交行服务强的银行多了去了!等到你的钱不见了再后悔就晚了。
  如果你是铁杆交行用户,你应该向交行网站发出以下投诉:
  (网址:http://www.bankcomm.com/BankCommSite/cn/include/guest.jsp)
  “如果本贴举报失实,交通银行要追究发贴人法律责任,并通报交行用户放心。如果举报属实,交行应修改电脑系统,并向全国用户致歉。给予赔偿。死猪不怕开水烫的做派(不作任何回应)是对所有交行用户的欺诈”。
  
  举报人:胡远志 身份证号:430103196102281539
  
  本人对以上举报负诬告之法律责任!

0 Comments:

Post a Comment

<< Home