Re: [討論] Line pay 一卡通被盜領

看板MobilePay作者 (Winson)時間4年前 (2019/11/05 12:12), 4年前編輯推噓64(64091)
留言155則, 56人參與, 4年前最新討論串5/6 (看更多)
昨天看到這篇文時自己就一直在測試 一開始是用同證號不同門號的LINE Pay綁定 此LINE Pay還未綁定一卡通帳戶時在登入LP 會提醒是否建立一卡通帳號 or 登入一卡通帳號 選擇登入會要求登入一卡通帳密→身份證→簡訊驗證 神奇的是簡訊驗證竟然不是由舊號碼A收到認證碼 而是從新號碼B收到認證碼 且綁定過程中 舊號碼A不會收到任何通知 只有在打開LINE Pay 會出現原Po那張圖 https://imgur.com/h6LxgOr.jpg
反而是新號碼LINE錢包會通知B號已綁定一卡通 好吧!也許是同證號不同門號所以可以收到OTP 晚上下班用我太太的LP綁定我的一卡通帳號 如上在知道一卡通帳密和身份證情況下 由我太太手機收認證碼之後完美綁定一卡通帳戶 而銀行帳戶都在 所以當知道一卡通帳密和身份證字號三者後 OTP是無效的 這也許是因為LP和一卡通帳戶 分別為不同業務而造成的漏洞 不然對於不同證號的手機可以綁定 且舊號碼沒任何警告這很匪夷所思 然後舊號碼看到此畫面後 可繼續使用LINE Pay 需輸入原本LINE Pay 卡號 再由LINE撥號進來告知認證碼輸入完後 才由Email 收LP臨時密碼 最後才更改LP 支付密碼 再來會問是否綁定一卡通帳號 當然可以在把原本一卡通帳號綁回來 不過以下狀況個人昨天為了方便測試因此支付密碼是設一樣 在LP綁定一卡通帳號時會告知說 一卡通帳號密碼會結合LP支付密碼 因此不曉得若由B者綁定 已破解的一卡通帳密 被盜者是否能在由 原本的一卡通帳密+身份證字號綁回 或者只能使用忘記密碼 當使用忘記密碼時,某板友有推文提過 原綁定的銀行帳號通通解綁 以上為個人測試狀況 希望有勇者能測試一下街口的部份 後半段修正一下依照一卡通QA密碼會以一卡通帳戶支付密碼為主 https://imgur.com/HqnxoU0.jpg
而非原本所寫以LP支付密碼為主 因此下面提到當得知一卡通帳號+一卡通支付密碼+身份證字號 可以無痛由A LP轉B LP再轉C LP是沒問題的 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.190.46 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1572927130.A.97E.html ※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 12:14:33
11/05 12:19, 4年前 , 1F
"忘記密碼時,某板友有推文提過 原綁定的銀行帳號通通解"
11/05 12:19, 1F
11/05 12:19, 4年前 , 2F
那這樣怎麼還有會被盜款問題?
11/05 12:19, 2F
11/05 12:20, 4年前 , 3F
最多是已儲值到帳戶部分被轉到別銀行帳戶
11/05 12:20, 3F
11/05 12:20, 4年前 , 4F
因為當一卡通帳號被他人綁定後,被盜者是被動知曉,LINE
11/05 12:20, 4F
11/05 12:21, 4年前 , 5F
不會被立即通知,然後在知道一卡通帳密+身份證字號的情
11/05 12:21, 5F
11/05 12:21, 4年前 , 6F
況下是可以完美由A門號LP 轉至 B門號LP
11/05 12:21, 6F
11/05 12:22, 4年前 , 7F
這過程中銀行完全不會解綁,因此當我一卡通帳密和身份證
11/05 12:22, 7F
11/05 12:23, 4年前 , 8F
不變可以無痛由A轉B甚至轉C都可以
11/05 12:23, 8F
11/05 12:23, 4年前 , 9F
不過轉C可能就得先知道B的支付密碼就是除非像我測試一樣
11/05 12:23, 9F
11/05 12:24, 4年前 , 10F
支付密碼都設相同
11/05 12:24, 10F
11/05 12:25, 4年前 , 11F
我覺得這問題點卡在OTP在這轉移過程中根本無效
11/05 12:25, 11F
11/05 12:34, 4年前 , 12F
請問可以關掉轉帳功能嗎?自用都是儲值跟提領不會有轉帳
11/05 12:34, 12F
11/05 12:37, 4年前 , 13F
一卡通的資安真的要再加油,之前查卡片餘額的iPASS一卡通
11/05 12:37, 13F
11/05 12:37, 4年前 , 14F
APP還會莫名出現別人的卡片(卡號)....
11/05 12:37, 14F
11/05 12:41, 4年前 , 15F
感覺起來一卡通那邊只有認證帳密和身份證字號,電話是從
11/05 12:41, 15F
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 12:42:06
11/05 12:41, 4年前 , 16F
LINEPAY那邊抓過來的(可能是LINEPAY原本的機制)
11/05 12:41, 16F
對,一卡通主要透過身份證驗證,而電話是由LINE Pay 且電話根本不管證號誰都能收,舊號還沒被主動告知真的挺瞎的 ※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 12:46:58
11/05 12:42, 4年前 , 17F
大概就如原PO所猜測的,是因為LINEPAY和一卡通分開造成
11/05 12:42, 17F
11/05 12:43, 4年前 , 18F
的BUG
11/05 12:43, 18F
11/05 12:43, 4年前 , 19F
拉基 幸好我只用純綁銀行卡功能
11/05 12:43, 19F
11/05 12:44, 4年前 , 20F
這麼嚴重的漏洞,記者朋友快來
11/05 12:44, 20F
11/05 12:51, 4年前 , 21F
昨天看到文章就秒解綁定 太可怕
11/05 12:51, 21F
11/05 12:54, 4年前 , 22F
推實驗精神,昨天才加入打算領6號的新戶禮就遇到這種事
11/05 12:54, 22F
11/05 12:59, 4年前 , 23F
用忘記密碼重新綁定時,所有銀行帳戶都會自動解綁
11/05 12:59, 23F
11/05 13:10, 4年前 , 24F
這太複雜記者不一定看得懂
11/05 13:10, 24F
11/05 13:12, 4年前 , 25F
跟日本小7異曲同工
11/05 13:12, 25F
11/05 13:12, 4年前 , 26F
等一下員工吃完午飯回來就會開始洗風向了
11/05 13:12, 26F
11/05 13:17, 4年前 , 27F
其實我比較好奇街口異機異號怎綁定的有沒有勇者測試呀
11/05 13:17, 27F
11/05 13:17, 4年前 , 28F
街口要收原號otp
11/05 13:17, 28F
11/05 13:18, 4年前 , 29F
改號碼要到街口裡面改了
11/05 13:18, 29F
11/05 13:21, 4年前 , 30F
#1TkvNatz 噓的人要不要土下座
11/05 13:21, 30F
11/05 13:21, 4年前 , 31F
推原PO親身測試
11/05 13:21, 31F
11/05 13:23, 4年前 , 32F
#1TkvNatz 帳戶被破解跟盜刷完全兩碼子事情吧
11/05 13:23, 32F
11/05 13:25, 4年前 , 33F
推詳細測試並且分析可能漏洞提醒大家
11/05 13:25, 33F
11/05 13:31, 4年前 , 34F
先確定是line自己出包不是原po流出帳密再說
11/05 13:31, 34F
11/05 13:33, 4年前 , 35F
我覺得比較偏單一個案 如果是系統被駭 受害者不只一位
11/05 13:33, 35F
11/05 13:37, 4年前 , 36F
謝謝原PO測試提醒
11/05 13:37, 36F
11/05 13:46, 4年前 , 37F
有夠複雜...看到眼花了
11/05 13:46, 37F
還有 81 則推文
還有 5 段內文
11/05 20:22, 4年前 , 119F
@bestdekiller 原原po的LINE 是最新版嗎?
11/05 20:22, 119F
11/05 20:24, 4年前 , 120F
一卡通公司或line pay是否該出面說明一下太可怕了
11/05 20:24, 120F
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 20:41:34 ※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 20:44:40 ※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 21:12:34
11/05 21:01, 4年前 , 121F
太複雜看不懂 你也是要知道全部資料才能這樣試吧?!
11/05 21:01, 121F
是不知道原PO是啥情形 但如我上面所說 一卡通帳號+一卡通支付密碼+身份證ID三者缺一不可才能無痛轉移 那怎樣情形能三者都知道就各位自己去防範一下囉! ※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 21:19:55
11/05 21:20, 4年前 , 122F
推測試 希望快把漏洞補上
11/05 21:20, 122F
11/05 21:31, 4年前 , 123F
真的很感謝win大做這麼多測試
11/05 21:31, 123F
11/05 21:58, 4年前 , 124F
一卡通帳號是linepay裡面那張卡上顯示的
11/05 21:58, 124F
11/05 21:58, 4年前 , 125F
一卡通帳戶號碼嗎
11/05 21:58, 125F
那串碼是一卡通卡號和本文所說的一卡通帳號並無關聯 當使用LINE Pay要連結一卡通帳戶會先要你註冊 一卡通帳號+6位數一卡通支付密碼 此帳號才是本文所提之帳號 當綁定成功後在每次登入LINE Pay應該會看到 ※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 22:04:17
11/05 22:00, 4年前 , 126F
登入一卡通帳戶的 ID
11/05 22:00, 126F
11/05 22:15, 4年前 , 127F
推實驗精神
11/05 22:15, 127F
11/05 22:29, 4年前 , 128F
除非花掉,不然金流這種哪可能抓不到
11/05 22:29, 128F
11/05 22:29, 4年前 , 129F
而且這都是重罪欸 擾亂金融秩序這可以死刑呢
11/05 22:29, 129F
11/05 23:28, 4年前 , 130F
樓上想太多...又不是幾千幾百萬
11/05 23:28, 130F
11/05 23:29, 4年前 , 131F
三方詐騙就難抓了
11/05 23:29, 131F
11/06 00:53, 4年前 , 132F
某e還在拼命護航耶,又是個案又是原原PO自己外流帳密
11/06 00:53, 132F
11/06 00:54, 4年前 , 133F
檢討受害者真的是鬼島才有的世界奇觀
11/06 00:54, 133F
11/06 01:07, 4年前 , 134F
11/06 01:07, 134F
11/06 01:43, 4年前 , 135F
沒什麼好護不護航的問題 要知道系統被破解或是入侵
11/06 01:43, 135F
11/06 01:44, 4年前 , 136F
這種層次的問題跟個人因不明因素帳密被盜完全是兩回事
11/06 01:44, 136F
11/06 01:47, 4年前 , 137F
以W大測試來說 流程的確有瑕疵 但不管是無痛轉移或是
11/06 01:47, 137F
11/06 01:47, 4年前 , 138F
銀行被解除綁定的轉移 還是得取得部分個人資訊才有可能
11/06 01:47, 138F
11/06 01:51, 4年前 , 139F
討論技術上的問題可以自己腦補成檢討受害者?
11/06 01:51, 139F
11/06 01:56, 4年前 , 140F
要知道 舉個例子 YAHOO內部被入侵破解個資外洩 跟
11/06 01:56, 140F
11/06 01:57, 4年前 , 141F
被釣魚導致帳密被竊 完全是兩回事 因為入侵個資外洩導致
11/06 01:57, 141F
11/06 01:59, 4年前 , 142F
YAHOO被集體求償判定成立 就兩種完全不同層次問題
11/06 01:59, 142F
11/06 02:01, 4年前 , 143F
如果是平台本身漏洞問題 接下來肯定陸續爆炸 更多受害者
11/06 02:01, 143F
11/06 02:01, 4年前 , 144F
我是寧可不希望是這樣的問題
11/06 02:01, 144F
11/06 02:17, 4年前 , 145F
1.B知道A一卡通帳號+支付密碼+身份證字號 無痛破解OTP
11/06 02:17, 145F
11/06 02:18, 4年前 , 146F
2.透過忘記密碼 原綁定的銀行帳號通通解
11/06 02:18, 146F
11/06 02:20, 4年前 , 147F
不管是1或是2 都還是得取得部分個人保護資訊才可能辦到
11/06 02:20, 147F
11/06 07:31, 4年前 , 148F
哇塞… 那這還挺危險的… 感謝原po肉身測試分享
11/06 07:31, 148F
11/06 08:45, 4年前 , 149F
感謝測試分享
11/06 08:45, 149F
11/06 12:48, 4年前 , 150F
門號綁證號我家人就不用玩了,門號全在我名下合併帳單
11/06 12:48, 150F
11/06 13:43, 4年前 , 151F
樓上 方便和安全往往都是擇一啦 總之使用過程如此
11/06 13:43, 151F
11/06 13:45, 4年前 , 152F
如何防範就是看個人選擇
11/06 13:45, 152F
11/06 17:25, 4年前 , 153F
高調!!神人
11/06 17:25, 153F
11/06 23:54, 4年前 , 154F
感謝測試
11/06 23:54, 154F
11/07 13:50, 4年前 , 155F
推試驗,支持去po八卦版!
11/07 13:50, 155F
更多 winsonwu 的文章
文章代碼(AID): #1TmFQQb- (MobilePay)
討論串 (同標題文章)
完整討論串 (本文為第 5 之 6 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共6篇)
更多 winsonwu 的文章
文章代碼(AID): #1TmFQQb- (MobilePay)