澳洲银行网站与第三方共享用户数据？

在澳大利亚证券外汇



O.P.这篇文章已被编辑

我不是任何网络安全专家......只是另一个天真的互联网游客。

我应该担心使用第三方跟踪器和广告的在线银行网站吗服务器？

例如，澳大利亚“四大”银行之一的登录页面有 javascript 链接到：

adsrvr.org
contentsquare.net
< wbr>demdex.net
eum-appdynamics.com
facebook.net
googleadservices.com
googletagmanager.com
khoros.com< br>launchdarkly.com
icloud.com
omtrdc.net
tealiumiq.com

并非所有这些都是跟踪器或广告服务器，而是使用 Blacklight 扫描网站（ themarkup.org）透露（银行的登录页面）有 10 个广告跟踪器并创建 15 个第三方 cookie，并尝试对网络浏览器进行指纹识别。

登录页面还会将数据发送到 doubleclick.net， google.com、linkedin.com 和 rubiconproject.com

我听说澳大利亚银行处境艰难，需要利用一切可能的角度来盈利，但他们是否将客户信息泄露给第三方并暗中信任这些第三方的网络安全实践？
这真的有必要吗？

我还听说数据泄露是一个问题。就像这里，在澳大利亚。也许其他地方不会发生这种情况？

评论

quackn writes...

我还听说数据泄露是一件事。就像这里，在澳大利亚。也许其他地方不会发生这种情况？

银行通常不会遭受数据泄露。显然，他们有一个不惜一切代价保证数据（和资金）安全的使命目标/文化。因此，信息被存储并加密在其他服务器上，并且访问受到严格监控和控制。您读到的大数据马裤通常是那些只是收集信息（他们通常应该从未保存过）并保存在标有“密码”的文件夹中的文本文件或 Excel 电子表格中的组织。黑客通常并不那么老练，他们只是不断地四处探索，直到偶然发现一些东西。

他们是否会将有关客户的信息泄露给第三方

我对此表示怀疑。他们显然有兴趣跟踪您并提供他们的产品。他们还需要与其他实体共享信息来开展您的业务，例如当您在健身房设置直接借记时。

但如果您担心的话，现在每个组织都必须有一份隐私声明，并让您知道他们会和不会处理您的数据。< /p>

评论
这篇文章已编辑

quackn 写道...

我听说澳大利亚银行处境艰难，需要利用一切可能的角度来盈利，但他们是否向第三方提供有关客户的信息并暗中信任这些第三方的网络安全实践？
这真的有必要吗？

是的，特别是在登录页面上包含这些类型的第三方信标/像素/跟踪器是非常糟糕的安全设计。

这意味着银行隐含地信任所有这些第三方本身不会被破坏，并加载诸如此类的内容登录页面上的 javascript 用于抓取或捕获登录凭据信息。 如果您不托管 JavaScript，并让第三方加载它，那么您也信任他们的所有系统和流程。

我可以理解银行使用许多第三方来跟踪外部行为他们的网上银行平台，但恕我直言，像登录页面这样的页面是有问题的。 如果我是一名银行高管，并根据 BEAR 立法负责，我可能会因此类渎职行为入狱，那么我会告诉我们的在线银行团队尽快处理掉这些垃圾。
https://www.aph .gov.au/Parliamentary_Business/Bills_LEGislation/Bills_Search_Results/Result?bId=r6000

为了保护自己，请确保使用 2FA/MFA 进行银行登录 – 这意味着即使您的用户名/银行密码被破坏，第三方很难破坏您的帐户。 但是，如果第三方也参与了登录过程，谁知道呢。

此外，请确保您在浏览器或 uBlock 等第三方扩展中安装和使用网络跟踪/阻止功能。 每个普通的银行用户都会受到影响，但至少你可以保护自己。

这家银行的安全设计确实令人震惊。

pgdownload 写道.. .

因此，信息被存储并加密在其他服务器上，并且访问受到严格监控和控制。

黑客通常并不那么老练，他们只是不断地四处探索，直到偶然发现一些东西。

抱歉，但这已经不是 1990 年代了，黑客不再只是在家闲逛的无聊人。 有一个庞大的网络行业，花费数百万美元用于极其复杂的违规和攻击。

OP 提出的问题 100% 有效。 银行可以拥有监控的加密服务器但如果您允许数十个第三方在您的银行页面上加载第三方脚本，而您对其的控制权为零，那么这没什么。 这大致相当于 10 家营销公司站在银行 ATM 周围，用笔记本记录您所做的事情，并在您在 ATM 上输入 PIN 时在您身后监视。

看看这里的复杂程度这些天的网络攻击（澳大利亚优秀的网络通讯和播客）：https://risky.biz/

评论

LynX WiLdCaT 写道...

如果您不托管 JavaScript，并让第三方加载它，那么您也信任他们的所有系统和进程。

看起来很可能是这样银行确实有一个流程来审查最终出现在其网站上的任何潜在的活跃代码？

有一个庞大的网络行业，在极其复杂的违规和攻击上花费了数百万美元

完全同意。我可能有点油嘴滑舌，但即使是这些“老练”的黑客也经常发现不计后果地存储的大量数据——像 Medibank 数据泄露等黑客行为。我的观点更重要的是，银行一直处于阻止所有黑客企图的最前沿几十年来，隔壁的极客少年的一家国有企业。

虽然银行不是铁定的，但我不太担心它们。尽管有网络行业，但很难想象一家 Oz 银行会通过自己的在线网站遭到泄露？

评论

pgdownload 写道...< /p>

银行似乎确实有一个流程来审查最终出现在其网站上的任何潜在的活跃代码？

曾在银行业和嵌入此类代码的其他大型 ASX 公司工作过他们的应用程序和网站上的技术，是的，有流程。

但是，它们并不是您认为的流程。 从外面看，他们会告诉你他们是成熟的、风险适当的和前沿的。 实际上，它们是静态 IT 安全检查表、时间点供应商评估、过时的漏洞扫描工具和法律合同（甚至会告知第三方法律部门）...

银行登录页面上嵌入的每个嵌入式 JS、像素或信标（以及所有其他嵌入式第三方库）被持续动态地扫描安全漏洞的可能性为零。 这正是您不将这些内容嵌入到处理安全财务登录信息的页面上的原因。

澳洲中文论坛热点