※ 引述《Merman (雄人魚)》之銘言： : 原文連結：https://tw.appledaily.com/local/20200716/3ALCTUV6FFO6CI53D5QFKHKLQ4/ : 【網路實測1】中華電信驚傳續約漏洞 499吃到飽變2699！苦主慘賠4支iPhone11 : 南投張先生名下有6個中華電信門號，以每月499元吃到飽方案綁約，但其中4個門號自今年5月資費暴增，變成自動扣繳2699元，向中華電信查證，才驚覺遭冒名續約，且續約方案附帶的4支iPhone 11手機也被盜領。張先生報警後怒向《蘋果新聞網》投訴，續約身分沒驗證，中華電信管理出問題，且至今無法釐清冒名原因，害他得先清空戶頭，避免存款被扣光。中華電信對案情不做回應，僅表示此案是透過網路申辦，續約流程嚴謹，靜待警方調查。 : 家族沒人辦續約　資費499變2699 : 張先生表示，6個門號是在2018年加入母親節優惠499吃到飽方案，合約期限2年半，今年11月才到期，分別給自己、老婆、孩子、媳婦等人使用，6/23媳婦收到扣款簡訊通知才發現，電話月費從499元變成2699元，嚇得趕緊通知他，隔天到住家附近中華電信門市詢問，才知道門號已被人申辦續約，但中華電信以個資不能透露，無法交代經過，張先生只好先以竊盜和偽造文書報警處理。 : 張先生質疑，中華電信受理續約申辦，不是應該經過層層關卡才有辦法辦理？「沒看到我本人，沒我的雙證件，我也沒收到簡訊認證碼」且手機領取也要查驗身分，但他的證件從不帶出門，都鎖在家中保險箱裡，懷疑中華電信內神通外鬼，痛批是不是內部管理出了問題？否則怎能連續4隻手機都被冒名續約。 : iPhone送去嘉義　苦主南投吞帳單 : 對此，中華電信也查出，對方是透過網路續約方式，手機則是寄到嘉義某地址，客服還質疑張先生，「是否是自家人所為？不然就付十幾萬的違約金，解決這件事」，企圖大事化小，讓張先生相當氣憤，他相信家人不會先斬後奏，且詢問家人都確認沒有去申請續約，手機寄送地址他也不認識，希望警方可以查明真相。 : 張先生表示，門號合約期都還沒到，就發生不明原因再被續約36個月，還是申請最高資費方案，等於每個月無故要被多扣1萬多元，且門號續約所附的4支0元手機，是最新型的iPhone 11，都以郵寄方式寄到外地，若以iPhone 11最低價格2萬4900元計算，再加上往後連續扣繳，至少損失48萬8,256元，若提前解約，違約金更不敢想像。對電信公司客服建議認賠解決完全無法接受。 : 張先生提到，所幸被續約不到一個月就發現，只被扣了千餘元，但冒辦問題遲遲沒釐清，只能先將帳戶的錢提光，避免被繼續扣款，原本水、電、瓦斯費也是從此帳戶自動扣繳，現在都得另外到門市繳費，真的非常麻煩。 : 隔空續約也可以　門市才看雙證件 : 《蘋果》致電中華電信客服詢問，門號續約可透過手機線上續約、網路續約及門市續約3種方式，其中，手機撥打客服，需核對門號持有者身分，就可以線上申辦，而過程中會錄音；網路續約是需搭配會員帳號登入或利用手機搭配驗證碼續約，而門市續約必須攜帶雙證件才行。 : 《蘋果》嘗試用張先生疑似遭冒名的網路辦理續約，只要有帳號密碼登入中華電信會員，點選續約月繳2699元方案，過程中可以任意填寫手機郵寄地址、更改E-mail帳號等，只要對網頁每次跳出的詢問點選「同意」，就能一路過關斬將，直到最後點選「送出表單」，就坐等中華電信核准，就可以續約成功，過程中完全沒有對核對記者身分或要求驗證。 : 不過，申請過程中，相關事項有提到，如果續約的手機要以包裹方式寄送，送貨員必須核對領貨人的資料，領貨人要拿出身分資料確認，才可以簽收領取。 : 電信公司自認無漏洞　達人建議認證應更嚴謹 　 : 草屯分局偵查隊副隊長施文村表示，此案例有可能涉嫌人以不法方式盜取當事人帳號、密碼，或是用盜來身分資料申請帳號，目前已對當事人製作完筆錄，也發公文等待中華電信提供相關資料，才有辦法釐清相關細節，目前尚無法斷定被冒用的原因，案件偵查中。 : 中華電信表示，該用戶的續約方式，是透過網路申辦，申辦前須登入帳號、密碼等，申辦核准後包裹郵寄的方式寄送手機，交到當事人手上時，也會再看證件核對資料，並讓當事人簽收，程序是相當嚴謹的，公司目前也不清楚疑似被冒名原因，而當事人已經報案，會靜待檢警的調查結果。 : 3C達人阿達分析，網路設計若有兩段式認證，就算消費者帳密被盜也比較能防範，如果電信公司網路續約過程不需要驗證，那真的是很大漏洞，只要有心人士取得當事人帳密，幾乎可以在網路上完成申請，如果電信公司查核時又忽略，不能把損失算在消費者頭上。（田兆緯／南投報導） : 心得： : 我是不認為該用戶完全沒有疏失啦！不知道犯嫌是如何取得受害人的帳號密碼與完整的個人資料？不過續約的過程看來中華電信也是讓人有可乘之機，只能等待警方的調查結果來釐清真相了。 這看起來就是 emome 帳號密碼設定跟其他網站一樣 然後密碼外洩被人拿來 try 成功了之後就續約拿手機轉賣賺錢 內鬼的機率很低啦,這種事那麼容易就被查覺 也賺不了多少錢,誰會拿自己工作前途來賺這一點錢? 資費甚麼的根本也不是重點 驗證流程要嚴謹也不是不行啦,只是嚴謹跟方便性就是 trade-off 的關係 越改越嚴謹,就是越麻煩而已~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.241.165.91 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1594878012.A.45F.html