[討論] 街口支付出示付款碼的漏洞

作者CyberFret ( )

看板MobilePay

標題[討論] 街口支付出示付款碼的漏洞

時間Tue May 21 08:24:13 2019

https://www.jkopay.com/instructions/pay.html 看看街口支付官網出示付款碼的教學, 假設我單筆沒超過1萬, 且當月累積也沒超過3萬, "第三步: 出示QRcode" 給店家掃描之後, 沒有經過確認, 就直接付款完成假設我外帶一杯飲料原訂價50元, 出示付款碼給店家掃描, 最後付款成功的支付金額變成80元, 等於店家多賺30元, 可是我在付款流程中沒有確認金額的機會, 我覺得這是一個漏洞, 大家覺得呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 182.234.39.91 ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1558398255.A.7EB.html

噓 canlest: 請問linepay,請問pi錢包,請問免簽名刷卡 05/21 08:29

→ akira0621: 你適合用現金 05/21 08:30

→ bignoob: 你太棒呢，第一個發現漏洞呢 05/21 08:40

噓 bill0205: 原來還有這個漏洞喔那怎麼沒人反應?? 05/21 08:40

推 now99: 每家都一樣，怎麼只說街口呢？ 05/21 08:41

噓 love7090303: 這樣刷卡不也是同樣概念嗎？ 05/21 08:41

噓 magnumcxz: 就你最聰明 05/21 08:42

推 bignoob: 悠遊卡表示 icash表示一卡通表示 happyvash表示： 05/21 08:43

→ lucasboy: 請問悠遊卡一卡通 icash 怎麼辦？ 05/21 08:44

→ kasamewon: 所以說不是有交易紀錄讓你確認 05/21 08:46

噓 dip987: 是腦子有洞不是系統漏洞 05/21 08:51

噓 wenwei: 洞可能不在流程，在………… 05/21 08:51

→ alex1973: 交易明細, 店家印給你的明細都有寫金額品項, 你都不看的 05/21 08:52

→ alex1973: 話, 誰也救不了你 05/21 08:52

噓 anchi0221: 付款前先確認金額不是最基本的嗎 05/21 08:53

→ AIC: 你確認後,店家還要確認你確認了沒,然後你要還確認店家確認你 05/21 08:58

→ AIC: 確認店家確認了沒?然後再確認再確認再確認再確認再確認XDDDDD 05/21 08:59

推 love1943: 他這樣說也是沒錯只是舉例太爛 05/21 09:00

→ love1943: 不是有隔空掃描錢就被掃走了 05/21 09:00

噓 longya: 哇你好聰明喔，那你用信用卡沒對簽單也會發生一樣的事情 05/21 09:03

→ longya: 呢 05/21 09:03

→ bailan: 你應該沒用過吧，付款成功後，最後會有個畫面顯示 05/21 09:11

→ bailan: 如果金額不對當場就可以反映 05/21 09:14

→ call5566me: 金額你都自己填了=.= 05/21 09:19

→ CyberFret: 我有用LinePay, 是消費者自行輸入消費金額 05/21 09:25

推 G81HowInDown: 我昨天刷卡也發現這個漏洞 05/21 09:27

→ CyberFret: LinePay的方式, 比較像街口的"掃店家條碼" 05/21 09:28

→ CyberFret: aca大, 出示付款碼, 消費者無法自填金額 05/21 09:29

噓 rsps1008: 事實上你用每一種支付都沒辦法控制店家收款的金額吧 05/21 09:32

→ rsps1008: 結完帳對個明細很基本啊，有些悠遊卡一卡通存載具你當場 05/21 09:34

→ rsps1008: 連明細都沒有呢，那bug不是更大 05/21 09:34

→ bailan: linepay也有出示付款碼，你只是剛好遇到掃店家碼的 05/21 09:37

推 lianpig5566: 信用卡有啦有些感應卡機在等待感應畫面會顯示應付 05/21 09:38

→ lianpig5566: 款金額 05/21 09:38

噓 pneumas: 超大的一個洞我想在別處唷 05/21 09:54

噓 spotpt: 假設我外帶一杯飲料原訂價50元, 出示現金100 05/21 10:22

→ spotpt: 給店家找零, 最後付款成功的找零變成20元, 05/21 10:23

→ spotpt: 等於店家多賺30元, 可是我在付款流程中沒有確認 05/21 10:23

→ spotpt: 金額的機會, 我覺得這是一個漏洞, 大家覺得呢? 05/21 10:23

→ mqwe: 你是腦子有洞？ 05/21 10:23

→ erspicu: 一堆人腦袋就是這樣沒辦法 05/21 10:35

→ erspicu: 這跟教育程度也未必完全有關看個人 05/21 10:36

→ call5566me: 等等樓下會說裝睡的人叫不醒 05/21 10:42

噓 SHENG2014: 自己不確認就離開，就是放棄自己權利的問題。 05/21 10:50

噓 ridesuptt: 「假設」，應該根本沒用過就隨便找個說明網址發廢文 05/21 10:58

→ bailan: 連linepay他也只用過一半而已 05/21 11:02

噓 barkids: 有種畫面叫做交易成功，上面會立即出現交易金額，且有交 05/21 11:08

→ barkids: 易明細可查，這跟你用現金交易當場會看找的錢是否正確， 05/21 11:08

→ barkids: 是一樣的！照你小聰明的異想天開，行動支付早就出事了~ 05/21 11:08

噓 carlos0857: 出社會過嗎 05/21 11:20

噓 Goog1e: 怕！剛才發現用現金支付也有這個漏洞 05/21 11:20

→ Goog1e: 我又發現其他漏洞了！悠遊卡也會有這個漏洞！！！ 05/21 11:22

→ Goog1e: 會不會我搭公車每次都被多扣錢我不曉得啊太誇張了 05/21 11:23

噓 gbear: 你會質疑這個，卻不會在消費後看扣款的金額？是不是你用 05/21 11:24

→ gbear: 現金買人家找錯錢，你也要來po一篇？ 05/21 11:24

推 sgracee: 自己不確認，怪誰？之前我在環球買一個 28 元的三明治， 05/21 12:02

→ sgracee: 店家算成 2 個，變 56，刷完後，我發現不對，當下立刻反 05/21 12:02

→ sgracee: 應，最後店家刷退再重刷！（結論：刷完後請確認再離開） 05/21 12:03

→ sgracee: https://i.imgur.com/eYL5gvp.png 05/21 12:03

噓 winsonwu: XD今日最好笑，付款前後確認金額這不是常識嗎?且又不是 05/21 12:06

→ winsonwu: 說不可逆，付了錢無法刷退重刷 05/21 12:07

噓 michael46: 我剛剛發現我用悠遊卡搭捷運也有這個漏洞！！我該怎麼 05/21 12:14

→ michael46: 辦！捷運該不會都給我扣錯錢吧 05/21 12:14

→ carpkuo: 樓上:捷運不會公車會 T^T 不太可能為了4塊錢跑公車總站… 05/21 12:55

→ carpkuo: … 05/21 12:55

噓 theta45: UCCU 05/21 13:00

噓 michael46: 原來悠遊卡搭公車有漏洞！原po身為抓漏洞達人快去檢舉 05/21 13:02

→ Toy17: 奇文共賞給箭頭 05/21 13:08

→ vitLink64: 會發現多刷30不就是有確認才會發現嗎?跟找錯錢一樣阿， 05/21 13:34

→ vitLink64: 你怎麼不想如果店家嗶了但沒確認成功你就走掉，店家不 05/21 13:34

→ vitLink64: 就會虧50加商品，你反而賺到 05/21 13:34

噓 pikakami: 交易完不是會顯示價格？ 05/21 13:48

噓 gdsword: 我用現金不看找零不看發票店家多收錢我不知道我覺得 05/21 14:05

→ gdsword: 這是一個漏洞大家覺得呢？ 05/21 14:05

噓 protoss666: 真D棒 05/21 14:50

噓 atzc: 趕快提醒街口拿獎金 05/21 14:55

→ atzc: 不過LINE Pay有的店家是出示付款碼唷~ 05/21 14:56

→ atzc: 有的店家街口是掃描條碼呢~ 05/21 14:57

噓 atzc: 看來你還沒遇到各自的兩種付款方式啊 05/21 15:00

→ chenx5: 掃店家的條碼就能自己輸入金錢 05/21 15:09

噓 windsson: 腦子有洞????? 05/21 15:41

→ windsson: 不然不懂你講的漏洞是什麼洞 05/21 15:42

→ myabcd: 你不適合拿手機，請多使用公共電話！！報平安ＸＤ 05/21 16:04

→ willko: 廢 05/21 17:22

噓 a80104: 笑死怎不說拿現金店家故意找錯錢 05/21 17:35

推 pipi0254: 恭喜找到萬用漏洞 05/21 17:35

噓 h14315324032: 你好聰明 05/21 18:13

噓 will78: 朝聖 05/21 18:40

噓 MailMoviec: 哈哈！有洞的不是系統 05/21 18:40

推 faye543: 我有離開7-11才發現被重複扣兩筆的經驗，這種店家機台自 05/21 19:28

→ faye543: 己也會發現重複扣款，過沒多久就自動退了，通常店家不會 05/21 19:28

→ faye543: 沒事找自己麻煩的...... 05/21 19:28

噓 amyg812: 系統應該是沒洞洞在…… 05/21 19:41

噓 tequila2: 閱 05/21 20:30

噓 qoo2753586: 唉...孩子，你多想幾分鐘其實就不用發這篇廢文... 05/21 20:31

推 Kirshoff: 你結完帳都沒有檢查的習慣嗎... 05/21 21:43

噓 connie317: 刷完條碼不是會顯示金額？你不會確認喔？今天才知道用 05/21 21:45

→ connie317: 火？ 05/21 21:45

噓 spirit119: … 05/21 22:28

→ enjoyyou: 就你現金拿五百店家說你只拿一百的情況而已啊 05/21 22:37

噓 mleaf: 付款完發現金額不對，可以要求店家取消交易，重新付款。就 05/21 22:38

→ mleaf: 跟付現金時發現店家找錯錢時可以要求店家重找錢意思一樣。 05/21 22:38

→ mleaf: 你以為店家沒事天天在收錯錢喔？ 05/21 22:38

→ hsyumi1026: 發文有時是一種漏洞，大家覺得呢 05/21 23:51

噓 a062381: ？ 05/22 00:31

噓 line70107: 有洞就要補 05/22 02:37

噓 deray: 喔 05/22 08:55

噓 aycc: 你還是回到原始時代以物易物好了 05/22 10:55

噓 a9301040: 收錯錢就整筆退，因為還有發票金額也是錯的 05/22 14:36

→ a9301040: 已經減少發票正確卻收錯錢的麻煩 05/22 14:36

噓 diesels: 我笑了 05/22 21:40

噓 MangoTW: 洗文章也寫好一點… 05/23 01:38

噓 ps1: 這樣刷信用卡也有這問題而且有交易紀錄你不會跟店家抗議嗎 05/23 04:20

噓 kakukangen: 好棒喔 05/23 12:13

噓 frot: 拿鈔票給店員找錢，店員有可能多收30元，這是個很大的漏洞 05/23 15:03

噓 AlphaMC: 想來你掃店家QR code輸入金額時，店家也很怕原價80元被 05/24 01:43

→ AlphaMC: 輸入50元，讓你賺30元，交易過程中最好讓店家操作你的手 05/24 01:43

→ AlphaMC: 機才會安心 05/24 01:43

→ ssd860505da: 那如果發現店家掃錯金額呢？要怎麼補差價?可以直接 05/31 10:00

→ ssd860505da: 要求退現金?還是他能退街口金? 05/31 10:00