作者R2003 (费边)
看板MobilePay
标题[请益] 线上刷卡就莫名其妙被绑订了?
时间Sat Dec 13 21:18:03 2025
RT
下午的时候在两厅院的opentix网站(不是app)买了票
线上用信用卡刷卡
这时候正常就是会跳转到支付页面、输入资料等等
跳转到一个甚麽trustpay hitrust的网站
可除了基本的支付资讯外
还要我输入email或手机号码(?),
感觉有点怪怪,但又看到有智慧好夥伴的logo,就送出了
刷卡後看起来正常,也交易成功、opentix也有取到票
一切看起来正常,直到银行的刷卡通知信写到
OO卡号末4码XXXX,
第三方支付绑定OO卡且同时刷卡金额...动态验证码验证成功
~~~~~~~~~~~~~
马上就去查了那个甚麽trustpay hitrust,有官网,但没有登入(?)
我输入支付资讯时也没有要其他个资和密码去注册,越看越奇怪
马上就问银行,银行查了、问了表示他们系统端确认我的卡片确实有被绑定
可他们没办法更动,故基於风险考量表示能帮我换一张新卡
----------------
虽然目前因换新卡而没有风险疑虑(第三方支付因绑定而能自行发动交易)
但仍想问有板上大大能解答我的疑惑吗?
怎麽刷卡买东西就莫名其妙被绑订了?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.51.105.19 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1765631886.A.116.html
1F:→ finhisky: 你看一下网站刷卡服务条款有没有写绑定才能刷卡啊 12/13 21:32
没有,刚刚去看了买卖契约书,里面只有提到使用这家
十五、 交易安全技术
为确保消费者的交易安全,OPENTIX采用网际威信(HiTrust)提供全球电子认证之
DigiCert伺服器数位凭证机制,并由台新银行提供线上收单作业。资料传输过程采用
256bits SSL加密安全付款机制,资料传输过程中完全加密处理,无资料外泄之虞。
支付页面也很「乾净」啥都没写
2F:推 Kazamatsuri: 很多购物网站不想麻烦自己处理签太多付款方式的话, 12/13 21:35
3F:→ Kazamatsuri: 就会用另外的金流来处理(例如有名的蓝绿红三大金流 12/13 21:36
4F:→ Kazamatsuri: ),然後现在很多金流都「升级」成第三方支付的Pay, 12/13 21:36
5F:→ Kazamatsuri: 你查一下跳转的那个pay就是一个 12/13 21:36
那这样我就有疑问了
这个pay没有个人登入的方式(刷卡时也没有注册)
不就代表我的卡号未经同意甚至不知情下
被绑定存在一个第三方平台,而我没法删除,且理论上对方可以自行发动交易?
要不是银行有在刷卡通知中一并提到卡片已经被绑定,
还不会注意到,怪恐怖的。
※ 编辑: R2003 (27.51.105.19 台湾), 12/13/2025 22:04:12
6F:→ alex1973: 会不会问题在於刷卡通知信/简讯用字跟事实不符 ? 银行这 12/13 23:29
7F:→ alex1973: 边因为来自同一个授权来源就发一样的认证 email/简讯 12/13 23:30
绑定+刷卡金额是同一封通知信;我的卡片不是台新卡
8F:→ alex1973: 这需要台新来解释, 不过客服已经让你换卡就不用怕, 不过 12/13 23:31
我现在就纯粹是好奇,因为已经换卡了
9F:→ alex1973: 如果你不放心, 其实可以向双方都询问厘清到底是用字问题 12/13 23:32
10F:→ alex1973: 还是真的是第三方绑定 12/13 23:32
11F:推 Kazamatsuri: 写email或手机就有绑定的资格了 而且可能你有勾选什 12/14 00:09
不懂耶? 像是用line叫计程车可以绑定,因为有帐号
但我今天刷卡连注册都没有,也能绑定吗?
另外应该是没有勾选不必要的选项
总共三个可勾选,2个在opentix平台,我只勾选一定要的买卖契约书
(另个是将我购买时所使用之帐号电子邮件,提供予所购买项目之主办单位或商家);
还有1个在支付页面的个资宣告,完全没有同意绑定的选项耶?!
12F:→ Kazamatsuri: 麽同意事项 不过行动支付时代XXPay已经变的有点泛滥 12/14 00:10
13F:→ Kazamatsuri: 了… 12/14 00:10
※ 编辑: R2003 (27.51.105.19 台湾), 12/14/2025 00:47:02
14F:推 BabyWolf: 不清楚这平台详情 不过纯粹说绑定後对方"可以"自行发动 12/14 01:55
15F:→ BabyWolf: 交易是真的吗 我们绑定LINE Pay或Pi等等第三方支付 也不 12/14 01:56
16F:→ BabyWolf: 会被直接发动吧? 12/14 01:56
应该这麽说,就我理解
透过第三方支付的单笔交易,没有绑定/或绑定後第一笔消费,就是消费者发动交易
对方发动是
一般情况下,连续交易(例如订阅电子杂志的定期扣款)时,
消费者一次交易
同意并绑定後
---> 这里的同意就是授权商家储存第三方生成、对应信用卡的token;
绑定就是储存信用卡在第三方支付
往後商家就能按第一次同意的验证(代币token)去向第三方自行发动扣款
也就是技术上存在被商店发动交易的可能性
(特别是平台系统被入侵时一并伪造系统接受但带攻击性的token去发动交易)
所以我才会在收到绑定通知,不清楚这平台,也找不到登入的选项後
资安警铃疯狂大作
※ 编辑: R2003 (27.51.105.19 台湾), 12/14/2025 03:27:13
17F:推 tonyian: 我想现在看到「智障好夥伴的」Logo 都会多想三分钟,深 12/14 07:24
18F:→ tonyian: 怕,被这家深陷这家智障银行的神逻辑 12/14 07:24
19F:→ orange21: 预过光阳电车帐单,他们主动刷已经解绑的卡缴帐单,超 12/14 10:05
20F:→ orange21: 恐怖的 12/14 10:05
21F:→ orange21: 遇 12/14 10:05
22F:推 BabyWolf: 了解 是指技术上"可以" 但没有订阅合约之类的情况 应该 12/14 10:37
23F:→ BabyWolf: 也是不能随意发动的吧 12/14 10:38
对,没错,一般情况是不能随意发动,但只是不能合法随意发动而已...
有一次授权且绑定後,"技术上"想发动就能发动
还有价格也是由对方决定。
(例: 订阅服务涨价时,会直接依新价格扣款而非再请求新的权限)
也因此我担心的并非商家,毕竟商家若被入侵,扣款的金流入侵者也收不到
而是若第三方支付被入侵,在有绑定的情况,就等同是给入侵者权限去发动交易
24F:推 cytochrome: 绑定就是你这个会员帐号下次要付款能直接用这张卡付 12/14 10:45
25F:→ cytochrome: 款,但会员帐号被骇得时候也能直接被盗刷 12/14 10:45
但有趣的来了,这个trustpay我从头到尾都没注册过,也没被要求输入密码
甚至他们官网也没有个人登入的选项
那到底绑订到哪里去了?Opentix吗?可是上面也没有啊...
※ 编辑: R2003 (27.51.105.19 台湾), 12/14/2025 14:40:43
26F:推 hms5232: 有智障夥伴logo应该是因为你刷台新卡吧 撇开这个不说 你 12/14 14:38
我没有台新卡,我只有他们家的银行;单纯是台新是这个pay的收单银行吧(?)
27F:→ hms5232: 的疑虑的确有可能 先问问两厅院那边 让他们确认看看? 12/14 14:39
反正我已经换卡了,似乎就没这必要;
又或是等收到新卡并开卡後,代表原本token失效後再询问好了(?)
28F:→ hms5232: 另外token在这个情境通常都是翻译成权杖吧?代币感觉不太 12/14 14:40
29F:→ hms5232: 符合情境 12/14 14:40
哈哈~~我不是相关领域的,我只是知道技术上的一点点皮毛,
但不知道专有名词中文是啥,所以就自己乱翻了,拍谢~~
※ 编辑: R2003 (27.51.105.19 台湾), 12/14/2025 14:54:29
30F:→ dantes1013: 歪楼,这跟很多购物网站一样,预设刷卡成功就储存资料 12/14 21:55
31F:→ dantes1013: 成扣款卡,那个应该也是预设,然後可以取消的地方让你 12/14 21:56
32F:→ dantes1013: 找不到,就变相成了消费者同意的 12/14 21:56
33F:→ kkkk1234: 不过「同意绑定」这件事应该在有验证码的那封简讯会告 12/14 22:04
34F:→ kkkk1234: 知就是了 12/14 22:04
35F:→ SHENG2014: 你输入mail及手机,就是注册了 12/15 10:26