招行银行借记卡综合对账单的安全隐患

自从 2022 年开始，招商银行不再把借记卡综合对账单直接放在邮件里，而是脱裤子放屁在里面放了个链接非要用户去点击（潜在追踪用户的点击时间、IP 地址等信息）。 只要取得了该链接中的 TOKEN 那么公网上谁都可以访问，虽然这个链接只通过电子邮件发送给你，但是仍然有以下的隐患。

电子邮件中的链接是 http:// resourcevisit .paas .cmbchina .com / billServletNew?token=(512bit token)

1. 链接是 HTTP 的，虽然最后会 HSTS 成 HTTPS 但是首次请求时可能就已经泄露了 TOKEN
2. 只要有 TOKEN 不需要任何其它信息即可访问到账户金额，也就是说很容易就可以重放。
3. 512bit 的 TOKEN 并不是随机生成，而是拼接而成，其中有固定的一部分为用户账号信息，还有一部分是时间信息（账单月份），最后一部分可能是签名或者校验。

TOKEN 获取的方式可以有多种，比如会监视用户访问的浏览器（ Edge 以及某些国产浏览器）；另外通过用户的浏览器历史记录；某些网关设备，包括 ISP 也可以轻松获得。

另外时间足够的话，公开的 URL 信息是可以遍历的，这个 TOKEN 除去用户账户和时间信息，剩下的不一定能够保证加密强度。因此我强烈建议还有收到这个信息的用户，取消这项服务。

取消途径是：招行专业版借记卡综合对账单协议设置。手机网银上没有这个设置。

https://i.imgur.com/izgC1b7.png