我通过电子邮件将一份银行对账单的 PDF 文件发送给了一个小型志愿者组织的少数董事会成员。该帐户采取了额外的安全措施,包括要求所有提款或帐户变更都有两人签字。另一位从事 IT 工作的董事会成员不怕麻烦地更改银行账号(对我们来说很麻烦),并坚持认为这是一个高度安全漏洞。她发给我们所有人的一个链接解释了纯文本的风险。账号不是纯文本,而是 PDF 文件。该链接还以高风险的百万美元交易为例说明可能出现的问题,即:在你存入数百万美元之前的最后一刻,黑客可以更改一个数字,然后钱就会存入错误的账户。我联系过的银行反欺诈部门和其他人员都认为这太过分了,我也是这么认为。她还引用了此网站上的问答来支持他们的观点。
还有其他想法吗?或者,这有点像在拥挤的剧院里大喊失火了?
答案1
我不是安全专家,但我有以下几点看法:
银行账户号码确实很敏感,但如果没有其他信息(例如路由号码、社会保障),它们就没什么用。每次我需要从账户中提款时,我都需要路由号码或有效身份证明。我想这取决于银行,但防欺诈并不是一个新想法。总之,这就像有人知道你的用户名,但不知道你的密码。
答案2
这可能是一个安全风险,但黑客需要拥有您的计算机、邮件服务器或收件人计算机之间的链接。然后他们就有可能在线上监听并从输出中重建 PDF,然后阅读它。我不知道他们如何使用帐号,因为大多数电影看起来都是假的,但理论上是可能的。不过,安全 Stackexchange 网站对此有更多了解