[請益] 全家Family APP安全性問題

作者alloc (大碗滷肉飯男孩)

看板MobilePay

標題[請益] 全家Family APP安全性問題

時間Mon Apr 3 15:31:48 2023

今天用新手機不小心登錄舊的全家手機會員，發現登錄成功後綁定的信用卡也會一併在新手機上，請問這是正常的嗎？因為印象中像街口如果新裝置登入會解除所有綁定的信用卡跟銀行帳戶，應該所有第三方支付都會有這樣的安全機制吧？但FamiPay好像只要手機跟密碼就能開刷了，也不用OTP 驗證的樣子？被新裝置登入也沒有通知。那假設，若帳號密碼洩露，這種情況被盜刷可以跟銀行列爭議款嗎？還是說因為已經綁卡了就一定要繳？全家的話在個人是用條款就已經寫了帳號密碼的保管義務跟免責聲明了，感覺是不會負責的。 Google一下新聞好像只有電子支付被盜錢被轉走的事，本身連結的帳戶都沒什麼錢是不擔心，但如果被遠端登入導致盜刷的話就頭痛了。謝謝。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.161.148.193 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1680507111.A.915.html

→ Sheng98: 拿全家 app 和街口這種電支的比較不太對 04/03 15:42

→ Sheng98: 全家 app 要比較的話, 對應的是 openpoint app, 都屬於 04/03 15:43

→ Sheng98: 第三方支付 04/03 15:43

→ Sheng98: 只是比較少用其他手機登 openpoint app, 所以也不確定改 04/03 15:44

→ Sheng98: 用別的手機登, 原本綁定在裡面的信用卡會不會自動移除 04/03 15:44

→ JH10: 第三方支付都不會解除，但你要登入應該還要做一次otp才對 04/03 15:58

推 thisgo: 都沒注意過這個問題有點擔心原PO說的 04/03 16:46

更正一下，點進Fami錢包需要再輸入支付密碼，但仍不用OTP驗證。 ※ 編輯: alloc (1.161.148.193 臺灣), 04/03/2023 17:04:50

→ alloc: OpenPoint的話，想問有人試過嗎？怕真的有刪掉重加麻煩 04/03 17:06

推 Kazamatsuri: 街口已經有改過了某些情況下換機不會解綁帳戶跟卡 04/03 17:10

→ Kazamatsuri: 還有icash Pay換機不會解綁卡跟帳戶 OPEN錢包忘了會 04/03 17:12

→ Kazamatsuri: 不會 04/03 17:12

推 kevenshih: 我街口不會解綁，gpay,sp也不會 04/03 17:24

→ kevenshih: 目前全支付跟全盈才會解綁 04/03 17:25

→ kevenshih: 安全性自己也要小心，不能全靠業者 04/03 17:26

推 sgracee: 街口在去年 2022.11 時已經有調整過換機流程 04/03 18:04

→ sgracee: https://i.imgur.com/wHMbOaD.png 04/03 18:04

→ kkkk1234: 全家要收OTP 04/03 18:36

→ kkkk1234: 要收OTP的條件大概是登入的裝置跟這個會員上次登入的裝 04/03 18:39

→ kkkk1234: 置不同我平常切兩個帳號都不用OTP 一把我的帳號登在我 04/03 18:39

→ kkkk1234: 媽手機就要然後我手機會被強制登出再次登入就要收OTP 04/03 18:39

推 HMKRL: 與其煩惱這種要OTP驗證的不如煩惱線上會員然後不是插晶片 04/03 18:45

→ HMKRL: 刷的就送爭議款反正就說不是你本人刷的 04/03 18:45

→ kkkk1234: 我記得比較有問題的是換裝置登入要支付時可以用生物辨 04/03 19:00

→ kkkk1234: 識取代交易密碼但也不太記得是不是這樣了 04/03 19:00

→ prussian: 電子支付就是資料都記在伺服器上，換機要重綁支付的話 04/03 19:02

→ prussian: 代表業者連對自己用的認證方式都沒信心 04/03 19:03

→ prussian: 你銀行APP換機時需要把錢領出來重新存回去嗎? 沒有的話 04/03 19:04

→ prussian: 你為什麼就不會怕了? 04/03 19:04

推 empingao: 很不解同一支付帳號，通過所有認證， sim 卡網路加簡訊 04/03 21:01

→ empingao: 這些，不讓我單一帳號"多設備"使用的道理到底是在那？ 04/03 21:01

→ flypenguin: 換機登入要收 OTP 啊，這就是驗證步驟了。 04/03 21:50

→ flypenguin: 解綁除了找使用者麻煩之外一點意義都沒有。 04/03 21:51

→ flypenguin: 電支帳戶是你的身份證號，被拿去當人頭還是得到案說明 04/03 21:51

→ kkkk1234: 第三方支付一樣要到案說明搜尋家樂福錢包凍結、被告就 04/03 21:55

→ kkkk1234: 有相關資訊了 04/03 21:55

→ flypenguin: 對啊，原 PO 只擔心卡被刷；帳號被冒用的問題更大。 04/03 21:59

→ flypenguin: 問題點在於登入驗證夠不夠確實。 04/03 22:01

→ flypenguin: 有沒有解綁根本是微不足道的小事。 04/03 22:02

→ j49222106: 我很多第三方付都有在APP留言建議，個資、卡片管理頁 04/03 22:09

→ j49222106: 面要增加密碼驗證才能進去，但是他們連鳥都不鳥 04/03 22:09

我覺得有安全疑慮是確實現在我兩支手機互相登入都不需要OTP驗證。銀行APP換機一定要有OTP驗證吧？ ※ 編輯: alloc (1.161.148.193 臺灣), 04/03/2023 22:22:30

→ LoveEunha: 全盈+PAY很奇妙，換機有些銀行會解綁，有些不會 04/03 22:21

→ LoveEunha: 然後LINE Pay、一卡通MONEY換機也不會解綁吧 04/03 22:21

→ LoveEunha: 而且全家APP新機登入時就要OTP了吧 04/03 22:24

→ u504053: 我也剛換手機街口沒解綁啊 04/04 02:02

→ z2534281: 那麽怕就不要用 04/04 09:36

→ BlueBird5566: 所謂的安全性也不是只有換機是否要OTP或重綁這些 04/04 11:15

→ BlueBird5566: 就算你換機都給你otp或要求你重綁也不見得資安就做 04/04 11:15

→ BlueBird5566: 得很好說不定駭客輕而易舉就駭進系統從db抓了全資 04/04 11:16

→ BlueBird5566: 料像之前IRENT是連駭都不用駭就放在雲端上XDD 04/04 11:16

→ BlueBird5566: 所以真的在意安全性就直接不要用這不是大絕 04/04 11:17

→ BlueBird5566: 而且台灣資安本來就沒做多好連政府機關都會被駭 04/04 11:17

推 wtfconk: 那麽怕就不要用+1,換個機就解綁有夠囉唆 04/04 13:45

→ wtfconk: 都已經跟在你帳號下了,會被盜不就自己的問題居多,安全也 04/04 13:46

→ wtfconk: 要靠自己養成良好習慣,而不是什麼都用不便的方式來擋 04/04 13:46

推 eric525498: PCI DSS 了解一下，沒記錯的話業者是不能儲存卡片 04/04 13:52

→ eric525498: 完整明文資料，只能用 token 的樣子 04/04 13:52

→ eric525498: https://bit.ly/436ouMI 04/04 13:53

https://i.imgur.com/HvqzhWf.jpg

全家回覆的確會有不同裝置登入不需要OTP驗證的情況發生。現已修正。 ※ 編輯: alloc (1.161.155.50 臺灣), 04/06/2023 22:26:44

→ Sheng98: 就算是同廠牌同型號手機的換機也要做一次驗證 04/06 22:34

→ Sheng98: 很多是不同廠牌或同廠牌不同型號手機換裝置登入 04/06 22:34

→ Sheng98: 同廠牌同型號手機這狀況像是手機故障換機板, 就會是殼一 04/06 22:35

→ Sheng98: 樣但機板不一樣的同型號手機 04/06 22:35