→ erspicu: "忘記密碼時,某板友有推文提過 原綁定的銀行帳號通通解" 11/05 12:19
→ erspicu: 那這樣怎麼還有會被盜款問題? 11/05 12:19
→ erspicu: 最多是已儲值到帳戶部分被轉到別銀行帳戶 11/05 12:20
→ winsonwu: 因為當一卡通帳號被他人綁定後,被盜者是被動知曉,LINE 11/05 12:20
→ winsonwu: 不會被立即通知,然後在知道一卡通帳密+身份證字號的情 11/05 12:21
→ winsonwu: 況下是可以完美由A門號LP 轉至 B門號LP 11/05 12:21
→ winsonwu: 這過程中銀行完全不會解綁,因此當我一卡通帳密和身份證 11/05 12:22
→ winsonwu: 不變可以無痛由A轉B甚至轉C都可以 11/05 12:23
→ winsonwu: 不過轉C可能就得先知道B的支付密碼就是除非像我測試一樣 11/05 12:23
→ winsonwu: 支付密碼都設相同 11/05 12:24
→ winsonwu: 我覺得這問題點卡在OTP在這轉移過程中根本無效 11/05 12:25
推 applecake: 請問可以關掉轉帳功能嗎?自用都是儲值跟提領不會有轉帳 11/05 12:34
→ mf15566: 一卡通的資安真的要再加油,之前查卡片餘額的iPASS一卡通 11/05 12:37
→ mf15566: APP還會莫名出現別人的卡片(卡號).... 11/05 12:37
推 dalconan: 感覺起來一卡通那邊只有認證帳密和身份證字號,電話是從 11/05 12:41
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 12:42:06
→ dalconan: LINEPAY那邊抓過來的(可能是LINEPAY原本的機制) 11/05 12:41
對,一卡通主要透過身份證驗證,而電話是由LINE Pay
且電話根本不管證號誰都能收,舊號還沒被主動告知真的挺瞎的
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 12:46:58
→ dalconan: 大概就如原PO所猜測的,是因為LINEPAY和一卡通分開造成 11/05 12:42
→ dalconan: 的BUG 11/05 12:43
→ zero11995: 拉基 幸好我只用純綁銀行卡功能 11/05 12:43
推 pjung: 這麼嚴重的漏洞,記者朋友快來 11/05 12:44
推 oiea: 昨天看到文章就秒解綁定 太可怕 11/05 12:51
推 keyman2: 推實驗精神,昨天才加入打算領6號的新戶禮就遇到這種事 11/05 12:54
推 bignoob: 用忘記密碼重新綁定時,所有銀行帳戶都會自動解綁 11/05 12:59
推 Irusu: 這太複雜記者不一定看得懂 11/05 13:10
推 cityport: 跟日本小7異曲同工 11/05 13:12
→ cityport: 等一下員工吃完午飯回來就會開始洗風向了 11/05 13:12
→ winsonwu: 其實我比較好奇街口異機異號怎綁定的有沒有勇者測試呀 11/05 13:17
推 greenmiracle: 街口要收原號otp 11/05 13:17
→ greenmiracle: 改號碼要到街口裡面改了 11/05 13:18
推 hojoe: 推原PO親身測試 11/05 13:21
推 hr07: 推詳細測試並且分析可能漏洞提醒大家 11/05 13:25
→ padye: 先確定是line自己出包不是原po流出帳密再說 11/05 13:31
→ erspicu: 我覺得比較偏單一個案 如果是系統被駭 受害者不只一位 11/05 13:33
推 AIC: 謝謝原PO測試提醒 11/05 13:37
推 FRX: 有夠複雜...看到眼花了 11/05 13:46
可能是我文筆不好嫌得複雜了吧!
簡單來講當B知道A一卡通帳號+支付密碼+身份證字號就可用B門號收OTP綁定B LINE Pay
三者缺一不可才能無痛轉至 B LINE Pay
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 13:53:03
推 bignoob: 不綁手機號碼蠻奇怪的,交易類綁註冊時手機號應該是基本 11/05 13:56
→ bignoob: 的? 11/05 13:56
所以我才說這可能是LINE Pay和一卡通帳戶各做各而造成的缺失吧!
不然直覺都會覺得原號收OTP怎會是新號
但實際綁定狀況就是以LINE註冊的門號收OTP
而LINE Pay綁信用卡會以銀行留的電話做驗證
但以上過程其實可以不用綁卡就能轉一卡通帳戶
推 MJdavid: 看不太懂 @@ 11/05 13:56
推 YCL13: 比想像中的還容易耶 11/05 13:57
推 MJdavid: 喔喔 但是第三者要知道一卡通帳號+支付密碼+身份證字號 11/05 13:57
推 MJdavid: 的情況有點不容易吧 11/05 13:58
這我就不太清楚了XD 也許一卡通帳號為常用帳號?
而支付密碼個人覺得不論哪一家都有點薄弱
至於身份證......
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 14:09:32
推 DanielHAO: 秒解綁定 太可怕 11/05 14:06
推 Izangel: 兩步驟驗證機制失效的意思 11/05 14:15
推 nextpage: 感覺目前這幾家電子支付,還是單只綁信用卡消費就好 11/05 14:18
推 jw38: 推原po實驗精神,不知道苦主用那一隻手機@@ 11/05 14:19
推 now99: 投訴金管會應該可以懲處了 11/05 14:19
→ nextpage: 至少信用卡的損害控制目前都還OK 11/05 14:19
推 sbtiagr: 我是認為應該要通知的不是舊號碼,而是一卡通帳戶設定的 11/05 14:29
→ sbtiagr: 電話號碼。因為你有可能會換電話號碼,這個設定不是不好 11/05 14:29
→ sbtiagr: ,只是差在他並沒有讓一卡通帳戶有電話號碼的綁定 11/05 14:29
當然是會換號碼沒錯但一卡通帳戶沒有驗證電話號碼機制而是LINE Pay驗證
而兩邊業務不同才導致此漏洞
另外樓上有板友說明街口是舊號驗證
改號碼由街口內部更改 也因此之前才有人抱怨街口改號麻煩?
記得不少銀行App似乎也是都用舊號驗證
像是富邦若透過富邦App更改無卡提款 OTP是傳給舊號
個人是建議就算LINE Pay OTP機制不改
至少轉去新號銀行帳戶至少要全部解綁而不是無痛轉移
且舊號需要被通知而不是被動登入LINE Pay才發現
原來一卡通帳戶被綁去其他LINE Pay
※ 編輯: winsonwu (27.52.190.46 臺灣), 11/05/2019 14:37:15
推 sbtiagr: 如果一卡通帳戶換電話號碼就稍微麻煩一點,透過客服往來 11/05 14:32
→ sbtiagr: 去更換,像是銀行帳戶更換基本資料那樣。 11/05 14:32
→ winsonwu: 其實想深一點LP當初是自己申請電支的話,應該是連用LP都 11/05 14:46
→ winsonwu: 實名制?不然不同名LP和一卡通帳戶能互綁真的也是挺怪 11/05 14:47
推 erspicu: 我還是會支持LINEPAY一卡通帳戶 但希望官方改善和解釋 11/05 14:48
→ erspicu: 沒必要為了特例不明狀況 過度緊張 11/05 14:48
→ erspicu: 如果不放心 連結銀行內戶頭放小額就好 11/05 14:49
推 FlorisC: 降看下來麻煩也有麻煩的好處,如果一卡通帳戶像街口那樣 11/05 14:49
→ FlorisC: 原原PO也不會被動發現被盜領了 11/05 14:50
推 tchuangtom: 一卡通應該還是有記錄註冊時的門號,只是在改綁line帳 11/05 14:50
→ tchuangtom: 號時等同可換手機門號,所以驗證碼才會送到新門號,這 11/05 14:50
→ tchuangtom: 跟業務不同無關,是流程設計問題 11/05 14:50
→ FlorisC: 至少原原PO會先收到OTP,還有機會立馬改密碼搶救 11/05 14:50
推 now99: 宿主LINE 和寄生 一卡通 都沒測試這塊吧 11/05 15:03
推 dalconan: 這邊要改比較簡單的就是一卡通那邊如果偵測到從LINE 11/05 15:13
→ dalconan: 那邊抓到的電話不同就全部解綁,不過造成的影響就是如果 11/05 15:13
→ dalconan: 有人LINE那邊更改了綁定號碼,一卡通帳戶就要重綁定 11/05 15:14
→ dalconan: 不過以一般使用也不會綁了大量帳戶來儲值所以傷害也小, 11/05 15:14
→ dalconan: 除非是那種拿他來做轉帳中介用的使用者要全部重綁比較 11/05 15:15
→ dalconan: 辛苦 11/05 15:15
推 issemn: 好險我不用一卡通 11/05 16:03
→ pig: OTP 改發舊號應該比較好 (舊號不能收就去電信公司重辦sim卡) 11/05 16:08
推 siopp: 只要被釣魚台釣到你帳戶的錢就會消失,洞也太大了 11/05 16:09
→ pig: 需要的資訊量夠多才能轉移成功,所以之前不太容易觸發這問題 11/05 16:09
推 bestdekiller: 你說的沒錯 otp簡訊驗證根本不會傳到原手機 11/05 16:10
推 barkids: 看了本文和推文的肉身測試,覺得非常震驚!天啊好危險~ 11/05 16:15
推 adearlover: 樓上反應會不會太誇張? 11/05 16:45
→ adearlover: 我納悶的是一卡通帳密和身分證怎流出的?! 11/05 16:46
→ adearlover: 應該說盜帳者從哪邊取得這些資訊才對 11/05 16:48
→ loveflames: 網路上帳號密碼被盜用也不是不可能 11/05 16:49
→ forumk23: 要掌握這些資訊,通常就認識的人,就像老婆拿老公網銀帳 11/05 16:54
→ forumk23: 密操作一樣 11/05 16:54
→ loveflames: 如果習慣用同樣帳號密碼的話,就有可能在某些網站洩露 11/05 16:57
→ loveflames: 出去,不過我覺得這種盜用手法應該是新的 11/05 16:58
推 josesun: 有身分證字號應該是認識的人所為?不然一般流出帳號密碼 11/05 17:18
→ josesun: 很難取得身分證字號 11/05 17:18
→ mf15566: 完全照設計流程去走被盜除非是熟人,不然要取得個資應該 11/05 17:29
→ mf15566: 沒那麼容易,看原原PO說客服也不知道怎麼被盜的,也許有 11/05 17:29
→ mf15566: 其他的漏洞 11/05 17:29
推 tnw: 真得扯,完全不會傳到原本註冊的手機和電子信箱 11/05 17:39
推 barkids: 如果是身旁之人,一卡通帳號不難知道,點LINE PAY即顯示 11/05 17:40
→ pig: 客服不知道怎麼被盜的很正常,如果帳密加身份證都知道的話 11/05 17:48
→ pig: 從系統來看那就跟正常轉移一樣 11/05 17:49
→ KiroKu: 有些網站註冊會要帳密加身分證字號 如果這些網站後面防護 11/05 17:51
→ KiroKu: 做不好 其實很容易流出 11/05 17:51
→ KiroKu: 不從舊的號碼拿到驗證碼可能會考慮是舊手機掉了要換號 11/05 17:53
→ KiroKu: 但至少改綁定應該要送email出去比較合理 11/05 17:54
→ KiroKu: 包含一些公家的網站 也是有這些資料然後系統都外包的 11/05 17:56
推 vanisheye: 舊的就算不收otp,也該發簡訊通知已解綁,甚至email通 11/05 18:07
→ vanisheye: 知都還不夠即時,一定要發簡訊給舊號碼 11/05 18:07
→ yixianl: 有些網站註冊就要身份證+email+密碼 如果有網站被駭或 11/05 18:40
→ yixianl: 員工或外包拿去賣 你又其他地方又用一樣的資料註冊就很 11/05 18:40
→ yixianl: 可能被盜 11/05 18:40
推 AQUESTIONA: 謝謝測試 之前的文章居然都先檢討po文者 11/05 18:44
推 bestdekiller: 忘記密碼不會造成原綁定銀行失效 11/05 18:59
推 barkids: 在神不知鬼不覺的移轉過程中,舊號竟得不到任何通知,連 11/05 19:03
→ barkids: 被警示及時救濟的機會都沒有,這當然是明顯重大危險! 11/05 19:03
推 bestdekiller: 據我所對方就是用忘記密碼這功能 所以不用知道我的 11/05 19:06
→ bestdekiller: 密碼 但要知道我的身分證字號及LP一卡通ID 11/05 19:06
推 bestdekiller: 因為這件事已經報警了 所以我不知道如果再多說什麼 11/05 19:08
→ bestdekiller: 會不會造成法律問題 11/05 19:08
推 bignoob: 我昨天就試過忘記密碼,銀行帳號全數解綁,不管是儲值或 11/05 19:15
→ bignoob: 提領 11/05 19:15
→ bignoob: 除非他們之後有更新過,不然昨天早上的機制是這樣 11/05 19:16
剛剛個人測試在我太太的LINE Pay使用忘記密碼
當在B LINE Pay 使用忘記密碼 會由B門號接受 部份一卡通帳號+驗證碼
個人帳號為9字元但只出現2字元其餘為星號
接下來還是會要求登入完整帳號 底下提示若還是不記得一卡通帳號請通知客服
再來會要求改密碼 當改完密碼後B LINE Pay支付密碼為新密碼
然後改完密碼後 A門號秒接受銀行簡訊 已取消帳戶連結服務
當A LINE Pay要重新綁定 一卡通帳號需輸入上面已更改的新密碼才能綁定
所以透過忘記密碼取得密碼盜用 困難度比較高
推 ilovecmwang: 還好一卡通可以產生虛擬帳號,我都是手動轉帳 11/05 19:59
→ barkids: @bignoob 實測的是最新版的LINE嗎? 11/05 20:22
→ barkids: @bestdekiller 原原po的LINE 是最新版嗎? 11/05 20:22
推 s4712063: 一卡通公司或line pay是否該出面說明一下太可怕了 11/05 20:24
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 20:41:34
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 20:44:40
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 21:12:34
推 IOU9527: 太複雜看不懂 你也是要知道全部資料才能這樣試吧?! 11/05 21:01
是不知道原PO是啥情形 但如我上面所說
一卡通帳號+一卡通支付密碼+身份證ID三者缺一不可才能無痛轉移
那怎樣情形能三者都知道就各位自己去防範一下囉!
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 21:19:55
推 b177136: 推測試 希望快把漏洞補上 11/05 21:20
推 bestdekiller: 真的很感謝win大做這麼多測試 11/05 21:31
推 yixianl: 一卡通帳號是linepay裡面那張卡上顯示的 11/05 21:58
→ yixianl: 一卡通帳戶號碼嗎 11/05 21:58
那串碼是一卡通卡號和本文所說的一卡通帳號並無關聯
當使用LINE Pay要連結一卡通帳戶會先要你註冊 一卡通帳號+6位數一卡通支付密碼
此帳號才是本文所提之帳號
當綁定成功後在每次登入LINE Pay應該會看到
※ 編輯: winsonwu (114.34.107.16 臺灣), 11/05/2019 22:04:17
→ Sheng98: 登入一卡通帳戶的 ID 11/05 22:00
推 Iloinen: 推實驗精神 11/05 22:15
推 lirick42: 除非花掉,不然金流這種哪可能抓不到 11/05 22:29
→ lirick42: 而且這都是重罪欸 擾亂金融秩序這可以死刑呢 11/05 22:29
推 IOU9527: 樓上想太多...又不是幾千幾百萬 11/05 23:28
推 now99: 三方詐騙就難抓了 11/05 23:29
推 cityport: 某e還在拼命護航耶,又是個案又是原原PO自己外流帳密 11/06 00:53
→ cityport: 檢討受害者真的是鬼島才有的世界奇觀 11/06 00:54
推 spirit119: 推 11/06 01:07
→ erspicu: 沒什麼好護不護航的問題 要知道系統被破解或是入侵 11/06 01:43
→ erspicu: 這種層次的問題跟個人因不明因素帳密被盜完全是兩回事 11/06 01:44
→ erspicu: 以W大測試來說 流程的確有瑕疵 但不管是無痛轉移或是 11/06 01:47
→ erspicu: 銀行被解除綁定的轉移 還是得取得部分個人資訊才有可能 11/06 01:47
→ erspicu: 討論技術上的問題可以自己腦補成檢討受害者? 11/06 01:51
→ erspicu: 要知道 舉個例子 YAHOO內部被入侵破解個資外洩 跟 11/06 01:56
→ erspicu: 被釣魚導致帳密被竊 完全是兩回事 因為入侵個資外洩導致 11/06 01:57
→ erspicu: YAHOO被集體求償判定成立 就兩種完全不同層次問題 11/06 01:59
→ erspicu: 如果是平台本身漏洞問題 接下來肯定陸續爆炸 更多受害者 11/06 02:01
→ erspicu: 我是寧可不希望是這樣的問題 11/06 02:01
→ erspicu: 1.B知道A一卡通帳號+支付密碼+身份證字號 無痛破解OTP 11/06 02:17
→ erspicu: 2.透過忘記密碼 原綁定的銀行帳號通通解 11/06 02:18
→ erspicu: 不管是1或是2 都還是得取得部分個人保護資訊才可能辦到 11/06 02:20
推 dsct: 哇塞… 那這還挺危險的… 感謝原po肉身測試分享 11/06 07:31
推 kaitooru: 感謝測試分享 11/06 08:45
推 shinyblue: 門號綁證號我家人就不用玩了,門號全在我名下合併帳單 11/06 12:48
→ winsonwu: 樓上 方便和安全往往都是擇一啦 總之使用過程如此 11/06 13:43
→ winsonwu: 如何防範就是看個人選擇 11/06 13:45
推 pilitiger: 高調!!神人 11/06 17:25
推 POPBOBO: 感謝測試 11/06 23:54
推 wholesaler: 推試驗,支持去po八卦版! 11/07 13:50