作者alloc (大碗卤肉饭男孩)
看板MobilePay
标题[请益] 全家Family APP安全性问题
时间Mon Apr 3 15:31:48 2023
今天用新手机不小心登录旧的全家手机会员,
发现登录成功後绑定的信用卡也会一并在新手机上,
请问这是正常的吗?
因为印象中像街口如果新装置登入会解除所有
绑定的信用卡跟银行帐户,应该所有第三方支付都会有
这样的安全机制吧?
但FamiPay好像只要手机跟密码就能开刷了,也不用OTP
验证的样子?被新装置登入也没有通知。
那假设,若帐号密码泄露,这种情况被盗刷可以跟银行
列争议款吗?还是说因为已经绑卡了就一定要缴?
全家的话在个人是用条款就已经写了帐号密码的保管义务
跟免责声明了,感觉是不会负责的。
Google一下新闻好像只有电子支付被盗钱被转走的事,本身连
结的帐户都没什麽钱是不担心,但如果被远端登入导致盗刷
的话就头痛了。
谢谢。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.161.148.193 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1680507111.A.915.html
1F:→ Sheng98: 拿全家 app 和街口这种电支的比较不太对 04/03 15:42
2F:→ Sheng98: 全家 app 要比较的话, 对应的是 openpoint app, 都属於 04/03 15:43
3F:→ Sheng98: 第三方支付 04/03 15:43
4F:→ Sheng98: 只是比较少用其他手机登 openpoint app, 所以也不确定改 04/03 15:44
5F:→ Sheng98: 用别的手机登, 原本绑定在里面的信用卡会不会自动移除 04/03 15:44
6F:→ JH10: 第三方支付都不会解除,但你要登入应该还要做一次otp才对 04/03 15:58
7F:推 thisgo: 都没注意过这个问题 有点担心原PO说的 04/03 16:46
更正一下,点进Fami钱包需要再输入支付密码,但仍不用OTP验证。
※ 编辑: alloc (1.161.148.193 台湾), 04/03/2023 17:04:50
8F:→ alloc: OpenPoint的话,想问有人试过吗?怕真的有删掉重加麻烦 04/03 17:06
9F:推 Kazamatsuri: 街口已经有改过了 某些情况下换机不会解绑帐户跟卡 04/03 17:10
10F:→ Kazamatsuri: 还有icash Pay换机不会解绑卡跟帐户 OPEN钱包忘了会 04/03 17:12
11F:→ Kazamatsuri: 不会 04/03 17:12
12F:推 kevenshih: 我街口不会解绑,gpay,sp也不会 04/03 17:24
13F:→ kevenshih: 目前全支付跟全盈才会解绑 04/03 17:25
14F:→ kevenshih: 安全性自己也要小心,不能全靠业者 04/03 17:26
15F:推 sgracee: 街口在去年 2022.11 时已经有调整过换机流程 04/03 18:04
17F:→ kkkk1234: 全家要收OTP 04/03 18:36
18F:→ kkkk1234: 要收OTP的条件大概是登入的装置跟这个会员上次登入的装 04/03 18:39
19F:→ kkkk1234: 置不同 我平常切两个帐号都不用OTP 一把我的帐号登在我 04/03 18:39
20F:→ kkkk1234: 妈手机就要 然後我手机会被强制登出 再次登入就要收OTP 04/03 18:39
21F:推 HMKRL: 与其烦恼这种要OTP验证的不如烦恼线上会员 然後不是插晶片 04/03 18:45
22F:→ HMKRL: 刷的就送争议款 反正就说不是你本人刷的 04/03 18:45
23F:→ kkkk1234: 我记得比较有问题的是换装置登入要支付时可以用生物辨 04/03 19:00
24F:→ kkkk1234: 识取代交易密码 但也不太记得是不是这样了 04/03 19:00
25F:→ prussian: 电子支付就是资料都记在伺服器上,换机要重绑支付的话 04/03 19:02
26F:→ prussian: 代表业者连对自己用的认证方式都没信心 04/03 19:03
27F:→ prussian: 你银行APP换机时需要把钱领出来重新存回去吗? 没有的话 04/03 19:04
28F:→ prussian: 你为什麽就不会怕了? 04/03 19:04
29F:推 empingao: 很不解同一支付帐号,通过所有认证, sim 卡网路加简讯 04/03 21:01
30F:→ empingao: 这些,不让我单一帐号"多设备"使用的道理到底是在那? 04/03 21:01
31F:→ flypenguin: 换机登入要收 OTP 啊,这就是验证步骤了。 04/03 21:50
32F:→ flypenguin: 解绑除了找使用者麻烦之外一点意义都没有。 04/03 21:51
33F:→ flypenguin: 电支帐户是你的身份证号,被拿去当人头还是得到案说明 04/03 21:51
34F:→ kkkk1234: 第三方支付一样要到案说明 搜寻家乐福钱包冻结、被告就 04/03 21:55
35F:→ kkkk1234: 有相关资讯了 04/03 21:55
36F:→ flypenguin: 对啊,原 PO 只担心卡被刷;帐号被冒用的问题更大。 04/03 21:59
37F:→ flypenguin: 问题点在於登入验证够不够确实。 04/03 22:01
38F:→ flypenguin: 有没有解绑根本是微不足道的小事。 04/03 22:02
39F:→ j49222106: 我很多第三方付都有在APP留言建议,个资、卡片管理页 04/03 22:09
40F:→ j49222106: 面要增加密码验证才能进去,但是他们连鸟都不鸟 04/03 22:09
我觉得有安全疑虑是确实现在我两支手机互相登入都不需要OTP验证。
银行APP换机一定要有OTP验证吧?
※ 编辑: alloc (1.161.148.193 台湾), 04/03/2023 22:22:30
41F:→ LoveEunha: 全盈+PAY很奇妙,换机有些银行会解绑,有些不会 04/03 22:21
42F:→ LoveEunha: 然後LINE Pay、一卡通MONEY换机也不会解绑吧 04/03 22:21
43F:→ LoveEunha: 而且全家APP新机登入时就要OTP了吧 04/03 22:24
44F:→ u504053: 我也刚换手机 街口没解绑啊 04/04 02:02
45F:→ z2534281: 那麽怕就不要用 04/04 09:36
46F:→ BlueBird5566: 所谓的安全性也不是只有换机是否要OTP或重绑这些 04/04 11:15
47F:→ BlueBird5566: 就算你换机都给你otp或要求你重绑 也不见得资安就做 04/04 11:15
48F:→ BlueBird5566: 得很好 说不定骇客轻而易举就骇进系统从db抓了全资 04/04 11:16
49F:→ BlueBird5566: 料 像之前IRENT是连骇都不用骇就放在云端上XDD 04/04 11:16
50F:→ BlueBird5566: 所以真的在意安全性 就直接不要用 这不是大绝 04/04 11:17
51F:→ BlueBird5566: 而且台湾资安本来就没做多好 连政府机关都会被骇 04/04 11:17
52F:推 wtfconk: 那麽怕就不要用+1,换个机就解绑有够罗唆 04/04 13:45
53F:→ wtfconk: 都已经跟在你帐号下了,会被盗不就自己的问题居多,安全也 04/04 13:46
54F:→ wtfconk: 要靠自己养成良好习惯,而不是什麽都用不便的方式来挡 04/04 13:46
55F:推 eric525498: PCI DSS 了解一下,没记错的话业者是不能储存卡片 04/04 13:52
56F:→ eric525498: 完整明文资料,只能用 token 的样子 04/04 13:52
https://i.imgur.com/HvqzhWf.jpg
全家回覆的确会有不同装置登入不需要OTP验证的情况发生。
现已修正。
※ 编辑: alloc (1.161.155.50 台湾), 04/06/2023 22:26:44
58F:→ Sheng98: 就算是同厂牌同型号手机的换机也要做一次验证 04/06 22:34
59F:→ Sheng98: 很多是不同厂牌或同厂牌不同型号手机换装置登入 04/06 22:34
60F:→ Sheng98: 同厂牌同型号手机这状况像是手机故障换机板, 就会是壳一 04/06 22:35
61F:→ Sheng98: 样但机板不一样的同型号手机 04/06 22:35