作者winsonwu (Winson)
看板MobilePay
标题Re: [讨论] Line pay 一卡通被盗领
时间Tue Nov 5 12:12:08 2019
昨天看到这篇文时自己就一直在测试
一开始是用同证号不同门号的LINE Pay绑定
此LINE Pay还未绑定一卡通帐户时在登入LP
会提醒是否建立一卡通帐号 or 登入一卡通帐号
选择登入会要求登入一卡通帐密→身份证→简讯验证
神奇的是简讯验证竟然不是由旧号码A收到认证码
而是从新号码B收到认证码
且绑定过程中 旧号码A不会收到任何通知
只有在打开LINE Pay 会出现原Po那张图
https://imgur.com/h6LxgOr.jpg
反而是新号码LINE钱包会通知B号已绑定一卡通
好吧!也许是同证号不同门号所以可以收到OTP
晚上下班用我太太的LP绑定我的一卡通帐号
如上在知道一卡通帐密和身份证情况下
由我太太手机收认证码之後完美绑定一卡通帐户
而银行帐户都在
所以当知道一卡通帐密和身份证字号三者後 OTP是无效的
这也许是因为LP和一卡通帐户 分别为不同业务而造成的漏洞
不然对於不同证号的手机可以绑定 且旧号码没任何警告这很匪夷所思
然後旧号码看到此画面後 可继续使用LINE Pay
需输入原本LINE Pay 卡号
再由LINE拨号进来告知认证码输入完後
才由Email 收LP临时密码 最後才更改LP 支付密码
再来会问是否绑定一卡通帐号
当然可以在把原本一卡通帐号绑回来
不过以下状况个人昨天为了方便测试因此支付密码是设一样
在LP绑定一卡通帐号时会告知说 一卡通帐号密码会结合LP支付密码
因此不晓得若由B者绑定 已破解的一卡通帐密
被盗者是否能在由 原本的一卡通帐密+身份证字号绑回
或者只能使用忘记密码
当使用忘记密码时,某板友有推文提过 原绑定的银行帐号通通解绑
以上为个人测试状况
希望有勇者能测试一下街口的部份
後半段修正一下依照一卡通QA密码会以一卡通帐户支付密码为主
https://imgur.com/HqnxoU0.jpg
而非原本所写以LP支付密码为主
因此下面提到当得知一卡通帐号+一卡通支付密码+身份证字号
可以无痛由A LP转B LP再转C LP是没问题的
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.52.190.46 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1572927130.A.97E.html
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 12:14:33
1F:→ erspicu: "忘记密码时,某板友有推文提过 原绑定的银行帐号通通解" 11/05 12:19
2F:→ erspicu: 那这样怎麽还有会被盗款问题? 11/05 12:19
3F:→ erspicu: 最多是已储值到帐户部分被转到别银行帐户 11/05 12:20
4F:→ winsonwu: 因为当一卡通帐号被他人绑定後,被盗者是被动知晓,LINE 11/05 12:20
5F:→ winsonwu: 不会被立即通知,然後在知道一卡通帐密+身份证字号的情 11/05 12:21
6F:→ winsonwu: 况下是可以完美由A门号LP 转至 B门号LP 11/05 12:21
7F:→ winsonwu: 这过程中银行完全不会解绑,因此当我一卡通帐密和身份证 11/05 12:22
8F:→ winsonwu: 不变可以无痛由A转B甚至转C都可以 11/05 12:23
9F:→ winsonwu: 不过转C可能就得先知道B的支付密码就是除非像我测试一样 11/05 12:23
10F:→ winsonwu: 支付密码都设相同 11/05 12:24
11F:→ winsonwu: 我觉得这问题点卡在OTP在这转移过程中根本无效 11/05 12:25
12F:推 applecake: 请问可以关掉转帐功能吗?自用都是储值跟提领不会有转帐 11/05 12:34
13F:→ mf15566: 一卡通的资安真的要再加油,之前查卡片余额的iPASS一卡通 11/05 12:37
14F:→ mf15566: APP还会莫名出现别人的卡片(卡号).... 11/05 12:37
15F:推 dalconan: 感觉起来一卡通那边只有认证帐密和身份证字号,电话是从 11/05 12:41
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 12:42:06
16F:→ dalconan: LINEPAY那边抓过来的(可能是LINEPAY原本的机制) 11/05 12:41
对,一卡通主要透过身份证验证,而电话是由LINE Pay
且电话根本不管证号谁都能收,旧号还没被主动告知真的挺瞎的
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 12:46:58
17F:→ dalconan: 大概就如原PO所猜测的,是因为LINEPAY和一卡通分开造成 11/05 12:42
18F:→ dalconan: 的BUG 11/05 12:43
19F:→ zero11995: 拉基 幸好我只用纯绑银行卡功能 11/05 12:43
20F:推 pjung: 这麽严重的漏洞,记者朋友快来 11/05 12:44
21F:推 oiea: 昨天看到文章就秒解绑定 太可怕 11/05 12:51
22F:推 keyman2: 推实验精神,昨天才加入打算领6号的新户礼就遇到这种事 11/05 12:54
23F:推 bignoob: 用忘记密码重新绑定时,所有银行帐户都会自动解绑 11/05 12:59
24F:推 Irusu: 这太复杂记者不一定看得懂 11/05 13:10
25F:推 cityport: 跟日本小7异曲同工 11/05 13:12
26F:→ cityport: 等一下员工吃完午饭回来就会开始洗风向了 11/05 13:12
27F:→ winsonwu: 其实我比较好奇街口异机异号怎绑定的有没有勇者测试呀 11/05 13:17
28F:推 greenmiracle: 街口要收原号otp 11/05 13:17
29F:→ greenmiracle: 改号码要到街口里面改了 11/05 13:18
30F:推 cityport: #1TkvNatz 嘘的人要不要土下座 11/05 13:21
31F:推 hojoe: 推原PO亲身测试 11/05 13:21
32F:→ erspicu: #1TkvNatz 帐户被破解跟盗刷完全两码子事情吧 11/05 13:23
33F:推 hr07: 推详细测试并且分析可能漏洞提醒大家 11/05 13:25
34F:→ padye: 先确定是line自己出包不是原po流出帐密再说 11/05 13:31
35F:→ erspicu: 我觉得比较偏单一个案 如果是系统被骇 受害者不只一位 11/05 13:33
36F:推 AIC: 谢谢原PO测试提醒 11/05 13:37
37F:推 FRX: 有够复杂...看到眼花了 11/05 13:46
可能是我文笔不好嫌得复杂了吧!
简单来讲当B知道A一卡通帐号+支付密码+身份证字号就可用B门号收OTP绑定B LINE Pay
三者缺一不可才能无痛转至 B LINE Pay
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 13:53:03
38F:推 bignoob: 不绑手机号码蛮奇怪的,交易类绑注册时手机号应该是基本 11/05 13:56
39F:→ bignoob: 的? 11/05 13:56
所以我才说这可能是LINE Pay和一卡通帐户各做各而造成的缺失吧!
不然直觉都会觉得原号收OTP怎会是新号
但实际绑定状况就是以LINE注册的门号收OTP
而LINE Pay绑信用卡会以银行留的电话做验证
但以上过程其实可以不用绑卡就能转一卡通帐户
40F:推 MJdavid: 看不太懂 @@ 11/05 13:56
41F:推 YCL13: 比想像中的还容易耶 11/05 13:57
42F:推 MJdavid: 喔喔 但是第三者要知道一卡通帐号+支付密码+身份证字号 11/05 13:57
43F:推 MJdavid: 的情况有点不容易吧 11/05 13:58
这我就不太清楚了XD 也许一卡通帐号为常用帐号?
而支付密码个人觉得不论哪一家都有点薄弱
至於身份证......
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 14:09:32
44F:推 DanielHAO: 秒解绑定 太可怕 11/05 14:06
45F:推 Izangel: 两步骤验证机制失效的意思 11/05 14:15
46F:推 nextpage: 感觉目前这几家电子支付,还是单只绑信用卡消费就好 11/05 14:18
47F:推 jw38: 推原po实验精神,不知道苦主用那一只手机@@ 11/05 14:19
48F:推 now99: 投诉金管会应该可以惩处了 11/05 14:19
49F:→ nextpage: 至少信用卡的损害控制目前都还OK 11/05 14:19
50F:推 sbtiagr: 我是认为应该要通知的不是旧号码,而是一卡通帐户设定的 11/05 14:29
51F:→ sbtiagr: 电话号码。因为你有可能会换电话号码,这个设定不是不好 11/05 14:29
52F:→ sbtiagr: ,只是差在他并没有让一卡通帐户有电话号码的绑定 11/05 14:29
当然是会换号码没错但一卡通帐户没有验证电话号码机制而是LINE Pay验证
而两边业务不同才导致此漏洞
另外楼上有板友说明街口是旧号验证
改号码由街口内部更改 也因此之前才有人抱怨街口改号麻烦?
记得不少银行App似乎也是都用旧号验证
像是富邦若透过富邦App更改无卡提款 OTP是传给旧号
个人是建议就算LINE Pay OTP机制不改
至少转去新号银行帐户至少要全部解绑而不是无痛转移
且旧号需要被通知而不是被动登入LINE Pay才发现
原来一卡通帐户被绑去其他LINE Pay
※ 编辑: winsonwu (27.52.190.46 台湾), 11/05/2019 14:37:15
53F:推 sbtiagr: 如果一卡通帐户换电话号码就稍微麻烦一点,透过客服往来 11/05 14:32
54F:→ sbtiagr: 去更换,像是银行帐户更换基本资料那样。 11/05 14:32
55F:→ winsonwu: 其实想深一点LP当初是自己申请电支的话,应该是连用LP都 11/05 14:46
56F:→ winsonwu: 实名制?不然不同名LP和一卡通帐户能互绑真的也是挺怪 11/05 14:47
57F:推 erspicu: 我还是会支持LINEPAY一卡通帐户 但希望官方改善和解释 11/05 14:48
58F:→ erspicu: 没必要为了特例不明状况 过度紧张 11/05 14:48
59F:→ erspicu: 如果不放心 连结银行内户头放小额就好 11/05 14:49
60F:推 FlorisC: 降看下来麻烦也有麻烦的好处,如果一卡通帐户像街口那样 11/05 14:49
61F:→ FlorisC: 原原PO也不会被动发现被盗领了 11/05 14:50
62F:推 tchuangtom: 一卡通应该还是有记录注册时的门号,只是在改绑line帐 11/05 14:50
63F:→ tchuangtom: 号时等同可换手机门号,所以验证码才会送到新门号,这 11/05 14:50
64F:→ tchuangtom: 跟业务不同无关,是流程设计问题 11/05 14:50
65F:→ FlorisC: 至少原原PO会先收到OTP,还有机会立马改密码抢救 11/05 14:50
66F:推 now99: 宿主LINE 和寄生 一卡通 都没测试这块吧 11/05 15:03
67F:推 dalconan: 这边要改比较简单的就是一卡通那边如果侦测到从LINE 11/05 15:13
68F:→ dalconan: 那边抓到的电话不同就全部解绑,不过造成的影响就是如果 11/05 15:13
69F:→ dalconan: 有人LINE那边更改了绑定号码,一卡通帐户就要重绑定 11/05 15:14
70F:→ dalconan: 不过以一般使用也不会绑了大量帐户来储值所以伤害也小, 11/05 15:14
71F:→ dalconan: 除非是那种拿他来做转帐中介用的使用者要全部重绑比较 11/05 15:15
72F:→ dalconan: 辛苦 11/05 15:15
73F:推 issemn: 好险我不用一卡通 11/05 16:03
74F:→ pig: OTP 改发旧号应该比较好 (旧号不能收就去电信公司重办sim卡) 11/05 16:08
75F:推 siopp: 只要被钓鱼台钓到你帐户的钱就会消失,洞也太大了 11/05 16:09
76F:→ pig: 需要的资讯量够多才能转移成功,所以之前不太容易触发这问题 11/05 16:09
77F:推 bestdekiller: 你说的没错 otp简讯验证根本不会传到原手机 11/05 16:10
78F:推 barkids: 看了本文和推文的肉身测试,觉得非常震惊!天啊好危险~ 11/05 16:15
79F:推 adearlover: 楼上反应会不会太夸张? 11/05 16:45
80F:→ adearlover: 我纳闷的是一卡通帐密和身分证怎流出的?! 11/05 16:46
81F:→ adearlover: 应该说盗帐者从哪边取得这些资讯才对 11/05 16:48
82F:→ loveflames: 网路上帐号密码被盗用也不是不可能 11/05 16:49
83F:→ forumk23: 要掌握这些资讯,通常就认识的人,就像老婆拿老公网银帐 11/05 16:54
84F:→ forumk23: 密操作一样 11/05 16:54
85F:→ loveflames: 如果习惯用同样帐号密码的话,就有可能在某些网站泄露 11/05 16:57
86F:→ loveflames: 出去,不过我觉得这种盗用手法应该是新的 11/05 16:58
87F:推 josesun: 有身分证字号应该是认识的人所为?不然一般流出帐号密码 11/05 17:18
88F:→ josesun: 很难取得身分证字号 11/05 17:18
89F:→ mf15566: 完全照设计流程去走被盗除非是熟人,不然要取得个资应该 11/05 17:29
90F:→ mf15566: 没那麽容易,看原原PO说客服也不知道怎麽被盗的,也许有 11/05 17:29
91F:→ mf15566: 其他的漏洞 11/05 17:29
92F:推 tnw: 真得扯,完全不会传到原本注册的手机和电子信箱 11/05 17:39
93F:推 barkids: 如果是身旁之人,一卡通帐号不难知道,点LINE PAY即显示 11/05 17:40
94F:→ pig: 客服不知道怎麽被盗的很正常,如果帐密加身份证都知道的话 11/05 17:48
95F:→ pig: 从系统来看那就跟正常转移一样 11/05 17:49
96F:→ KiroKu: 有些网站注册会要帐密加身分证字号 如果这些网站後面防护 11/05 17:51
97F:→ KiroKu: 做不好 其实很容易流出 11/05 17:51
98F:→ KiroKu: 不从旧的号码拿到验证码可能会考虑是旧手机掉了要换号 11/05 17:53
99F:→ KiroKu: 但至少改绑定应该要送email出去比较合理 11/05 17:54
100F:→ KiroKu: 包含一些公家的网站 也是有这些资料然後系统都外包的 11/05 17:56
101F:推 vanisheye: 旧的就算不收otp,也该发简讯通知已解绑,甚至email通 11/05 18:07
102F:→ vanisheye: 知都还不够即时,一定要发简讯给旧号码 11/05 18:07
103F:→ yixianl: 有些网站注册就要身份证+email+密码 如果有网站被骇或 11/05 18:40
104F:→ yixianl: 员工或外包拿去卖 你又其他地方又用一样的资料注册就很 11/05 18:40
105F:→ yixianl: 可能被盗 11/05 18:40
106F:推 AQUESTIONA: 谢谢测试 之前的文章居然都先检讨po文者 11/05 18:44
107F:推 bestdekiller: 忘记密码不会造成原绑定银行失效 11/05 18:59
108F:推 barkids: 在神不知鬼不觉的移转过程中,旧号竟得不到任何通知,连 11/05 19:03
109F:→ barkids: 被警示及时救济的机会都没有,这当然是明显重大危险! 11/05 19:03
110F:推 bestdekiller: 据我所对方就是用忘记密码这功能 所以不用知道我的 11/05 19:06
111F:→ bestdekiller: 密码 但要知道我的身分证字号及LP一卡通ID 11/05 19:06
112F:推 bestdekiller: 因为这件事已经报警了 所以我不知道如果再多说什麽 11/05 19:08
113F:→ bestdekiller: 会不会造成法律问题 11/05 19:08
114F:推 bignoob: 我昨天就试过忘记密码,银行帐号全数解绑,不管是储值或 11/05 19:15
115F:→ bignoob: 提领 11/05 19:15
116F:→ bignoob: 除非他们之後有更新过,不然昨天早上的机制是这样 11/05 19:16
刚刚个人测试在我太太的LINE Pay使用忘记密码
当在B LINE Pay 使用忘记密码 会由B门号接受 部份一卡通帐号+验证码
个人帐号为9字元但只出现2字元其余为星号
接下来还是会要求登入完整帐号 底下提示若还是不记得一卡通帐号请通知客服
再来会要求改密码 当改完密码後B LINE Pay支付密码为新密码
然後改完密码後 A门号秒接受银行简讯 已取消帐户连结服务
当A LINE Pay要重新绑定 一卡通帐号需输入上面已更改的新密码才能绑定
所以透过忘记密码取得密码盗用 困难度比较高
117F:推 ilovecmwang: 还好一卡通可以产生虚拟帐号,我都是手动转帐 11/05 19:59
118F:→ barkids: @bignoob 实测的是最新版的LINE吗? 11/05 20:22
119F:→ barkids: @bestdekiller 原原po的LINE 是最新版吗? 11/05 20:22
120F:推 s4712063: 一卡通公司或line pay是否该出面说明一下太可怕了 11/05 20:24
※ 编辑: winsonwu (114.34.107.16 台湾), 11/05/2019 20:41:34
※ 编辑: winsonwu (114.34.107.16 台湾), 11/05/2019 20:44:40
※ 编辑: winsonwu (114.34.107.16 台湾), 11/05/2019 21:12:34
121F:推 IOU9527: 太复杂看不懂 你也是要知道全部资料才能这样试吧?! 11/05 21:01
是不知道原PO是啥情形 但如我上面所说
一卡通帐号+一卡通支付密码+身份证ID三者缺一不可才能无痛转移
那怎样情形能三者都知道就各位自己去防范一下罗!
※ 编辑: winsonwu (114.34.107.16 台湾), 11/05/2019 21:19:55
122F:推 b177136: 推测试 希望快把漏洞补上 11/05 21:20
123F:推 bestdekiller: 真的很感谢win大做这麽多测试 11/05 21:31
124F:推 yixianl: 一卡通帐号是linepay里面那张卡上显示的 11/05 21:58
125F:→ yixianl: 一卡通帐户号码吗 11/05 21:58
那串码是一卡通卡号和本文所说的一卡通帐号并无关联
当使用LINE Pay要连结一卡通帐户会先要你注册 一卡通帐号+6位数一卡通支付密码
此帐号才是本文所提之帐号
当绑定成功後在每次登入LINE Pay应该会看到
※ 编辑: winsonwu (114.34.107.16 台湾), 11/05/2019 22:04:17
126F:→ Sheng98: 登入一卡通帐户的 ID 11/05 22:00
127F:推 Iloinen: 推实验精神 11/05 22:15
128F:推 lirick42: 除非花掉,不然金流这种哪可能抓不到 11/05 22:29
129F:→ lirick42: 而且这都是重罪欸 扰乱金融秩序这可以死刑呢 11/05 22:29
130F:推 IOU9527: 楼上想太多...又不是几千几百万 11/05 23:28
131F:推 now99: 三方诈骗就难抓了 11/05 23:29
132F:推 cityport: 某e还在拼命护航耶,又是个案又是原原PO自己外流帐密 11/06 00:53
133F:→ cityport: 检讨受害者真的是鬼岛才有的世界奇观 11/06 00:54
134F:推 spirit119: 推 11/06 01:07
135F:→ erspicu: 没什麽好护不护航的问题 要知道系统被破解或是入侵 11/06 01:43
136F:→ erspicu: 这种层次的问题跟个人因不明因素帐密被盗完全是两回事 11/06 01:44
137F:→ erspicu: 以W大测试来说 流程的确有瑕疵 但不管是无痛转移或是 11/06 01:47
138F:→ erspicu: 银行被解除绑定的转移 还是得取得部分个人资讯才有可能 11/06 01:47
139F:→ erspicu: 讨论技术上的问题可以自己脑补成检讨受害者? 11/06 01:51
140F:→ erspicu: 要知道 举个例子 YAHOO内部被入侵破解个资外泄 跟 11/06 01:56
141F:→ erspicu: 被钓鱼导致帐密被窃 完全是两回事 因为入侵个资外泄导致 11/06 01:57
142F:→ erspicu: YAHOO被集体求偿判定成立 就两种完全不同层次问题 11/06 01:59
143F:→ erspicu: 如果是平台本身漏洞问题 接下来肯定陆续爆炸 更多受害者 11/06 02:01
144F:→ erspicu: 我是宁可不希望是这样的问题 11/06 02:01
145F:→ erspicu: 1.B知道A一卡通帐号+支付密码+身份证字号 无痛破解OTP 11/06 02:17
146F:→ erspicu: 2.透过忘记密码 原绑定的银行帐号通通解 11/06 02:18
147F:→ erspicu: 不管是1或是2 都还是得取得部分个人保护资讯才可能办到 11/06 02:20
148F:推 dsct: 哇塞… 那这还挺危险的… 感谢原po肉身测试分享 11/06 07:31
149F:推 kaitooru: 感谢测试分享 11/06 08:45
150F:推 shinyblue: 门号绑证号我家人就不用玩了,门号全在我名下合并帐单 11/06 12:48
151F:→ winsonwu: 楼上 方便和安全往往都是择一啦 总之使用过程如此 11/06 13:43
152F:→ winsonwu: 如何防范就是看个人选择 11/06 13:45
153F:推 pilitiger: 高调!!神人 11/06 17:25
154F:推 POPBOBO: 感谢测试 11/06 23:54
155F:推 wholesaler: 推试验,支持去po八卦版! 11/07 13:50