作者R2003 (費邊)
看板MobilePay
標題[請益] 線上刷卡就莫名其妙被綁訂了?
時間Sat Dec 13 21:18:03 2025
RT
下午的時候在兩廳院的opentix網站(不是app)買了票
線上用信用卡刷卡
這時候正常就是會跳轉到支付頁面、輸入資料等等
跳轉到一個甚麼trustpay hitrust的網站
可除了基本的支付資訊外
還要我輸入email或手機號碼(?),
感覺有點怪怪,但又看到有智慧好夥伴的logo,就送出了
刷卡後看起來正常,也交易成功、opentix也有取到票
一切看起來正常,直到銀行的刷卡通知信寫到
OO卡號末4碼XXXX,
第三方支付綁定OO卡且同時刷卡金額...動態驗證碼驗證成功
~~~~~~~~~~~~~
馬上就去查了那個甚麼trustpay hitrust,有官網,但沒有登入(?)
我輸入支付資訊時也沒有要其他個資和密碼去註冊,越看越奇怪
馬上就問銀行,銀行查了、問了表示他們系統端確認我的卡片確實有被綁定
可他們沒辦法更動,故基於風險考量表示能幫我換一張新卡
----------------
雖然目前因換新卡而沒有風險疑慮(第三方支付因綁定而能自行發動交易)
但仍想問有板上大大能解答我的疑惑嗎?
怎麼刷卡買東西就莫名其妙被綁訂了?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.51.105.19 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobilePay/M.1765631886.A.116.html
1F:→ finhisky: 你看一下網站刷卡服務條款有沒有寫綁定才能刷卡啊 12/13 21:32
沒有,剛剛去看了買賣契約書,裡面只有提到使用這家
十五、 交易安全技術
為確保消費者的交易安全,OPENTIX採用網際威信(HiTrust)提供全球電子認證之
DigiCert伺服器數位憑證機制,並由台新銀行提供線上收單作業。資料傳輸過程採用
256bits SSL加密安全付款機制,資料傳輸過程中完全加密處理,無資料外洩之虞。
支付頁面也很「乾淨」啥都沒寫
2F:推 Kazamatsuri: 很多購物網站不想麻煩自己處理簽太多付款方式的話, 12/13 21:35
3F:→ Kazamatsuri: 就會用另外的金流來處理(例如有名的藍綠紅三大金流 12/13 21:36
4F:→ Kazamatsuri: ),然後現在很多金流都「升級」成第三方支付的Pay, 12/13 21:36
5F:→ Kazamatsuri: 你查一下跳轉的那個pay就是一個 12/13 21:36
那這樣我就有疑問了
這個pay沒有個人登入的方式(刷卡時也沒有註冊)
不就代表我的卡號未經同意甚至不知情下
被綁定存在一個第三方平台,而我沒法刪除,且理論上對方可以自行發動交易?
要不是銀行有在刷卡通知中一併提到卡片已經被綁定,
還不會注意到,怪恐怖的。
※ 編輯: R2003 (27.51.105.19 臺灣), 12/13/2025 22:04:12
6F:→ alex1973: 會不會問題在於刷卡通知信/簡訊用字跟事實不符 ? 銀行這 12/13 23:29
7F:→ alex1973: 邊因為來自同一個授權來源就發一樣的認證 email/簡訊 12/13 23:30
綁定+刷卡金額是同一封通知信;我的卡片不是台新卡
8F:→ alex1973: 這需要台新來解釋, 不過客服已經讓你換卡就不用怕, 不過 12/13 23:31
我現在就純粹是好奇,因為已經換卡了
9F:→ alex1973: 如果你不放心, 其實可以向雙方都詢問釐清到底是用字問題 12/13 23:32
10F:→ alex1973: 還是真的是第三方綁定 12/13 23:32
11F:推 Kazamatsuri: 寫email或手機就有綁定的資格了 而且可能你有勾選什 12/14 00:09
不懂耶? 像是用line叫計程車可以綁定,因為有帳號
但我今天刷卡連註冊都沒有,也能綁定嗎?
另外應該是沒有勾選不必要的選項
總共三個可勾選,2個在opentix平台,我只勾選一定要的買賣契約書
(另個是將我購買時所使用之帳號電子郵件,提供予所購買項目之主辦單位或商家);
還有1個在支付頁面的個資宣告,完全沒有同意綁定的選項耶?!
12F:→ Kazamatsuri: 麼同意事項 不過行動支付時代XXPay已經變的有點氾濫 12/14 00:10
13F:→ Kazamatsuri: 了… 12/14 00:10
※ 編輯: R2003 (27.51.105.19 臺灣), 12/14/2025 00:47:02
14F:推 BabyWolf: 不清楚這平台詳情 不過純粹說綁定後對方"可以"自行發動 12/14 01:55
15F:→ BabyWolf: 交易是真的嗎 我們綁定LINE Pay或Pi等等第三方支付 也不 12/14 01:56
16F:→ BabyWolf: 會被直接發動吧? 12/14 01:56
應該這麼說,就我理解
透過第三方支付的單筆交易,沒有綁定/或綁定後第一筆消費,就是消費者發動交易
對方發動是
一般情況下,連續交易(例如訂閱電子雜誌的定期扣款)時,
消費者一次交易
同意並綁定後
---> 這裡的同意就是授權商家儲存第三方生成、對應信用卡的token;
綁定就是儲存信用卡在第三方支付
往後商家就能按第一次同意的驗證(代幣token)去向第三方自行發動扣款
也就是技術上存在被商店發動交易的可能性
(特別是平台系統被入侵時一併偽造系統接受但帶攻擊性的token去發動交易)
所以我才會在收到綁定通知,不清楚這平台,也找不到登入的選項後
資安警鈴瘋狂大作
※ 編輯: R2003 (27.51.105.19 臺灣), 12/14/2025 03:27:13
17F:推 tonyian: 我想現在看到「智障好夥伴的」Logo 都會多想三分鐘,深 12/14 07:24
18F:→ tonyian: 怕,被這家深陷這家智障銀行的神邏輯 12/14 07:24
19F:→ orange21: 預過光陽電車帳單,他們主動刷已經解綁的卡繳帳單,超 12/14 10:05
20F:→ orange21: 恐怖的 12/14 10:05
21F:→ orange21: 遇 12/14 10:05
22F:推 BabyWolf: 了解 是指技術上"可以" 但沒有訂閱合約之類的情況 應該 12/14 10:37
23F:→ BabyWolf: 也是不能隨意發動的吧 12/14 10:38
對,沒錯,一般情況是不能隨意發動,但只是不能合法隨意發動而已...
有一次授權且綁定後,"技術上"想發動就能發動
還有價格也是由對方決定。
(例: 訂閱服務漲價時,會直接依新價格扣款而非再請求新的權限)
也因此我擔心的並非商家,畢竟商家若被入侵,扣款的金流入侵者也收不到
而是若第三方支付被入侵,在有綁定的情況,就等同是給入侵者權限去發動交易
24F:推 cytochrome: 綁定就是你這個會員帳號下次要付款能直接用這張卡付 12/14 10:45
25F:→ cytochrome: 款,但會員帳號被駭得時候也能直接被盜刷 12/14 10:45
但有趣的來了,這個trustpay我從頭到尾都沒註冊過,也沒被要求輸入密碼
甚至他們官網也沒有個人登入的選項
那到底綁訂到哪裡去了?Opentix嗎?可是上面也沒有啊...
※ 編輯: R2003 (27.51.105.19 臺灣), 12/14/2025 14:40:43
26F:推 hms5232: 有智障夥伴logo應該是因為你刷台新卡吧 撇開這個不說 你 12/14 14:38
我沒有台新卡,我只有他們家的銀行;單純是台新是這個pay的收單銀行吧(?)
27F:→ hms5232: 的疑慮的確有可能 先問問兩廳院那邊 讓他們確認看看? 12/14 14:39
反正我已經換卡了,似乎就沒這必要;
又或是等收到新卡並開卡後,代表原本token失效後再詢問好了(?)
28F:→ hms5232: 另外token在這個情境通常都是翻譯成權杖吧?代幣感覺不太 12/14 14:40
29F:→ hms5232: 符合情境 12/14 14:40
哈哈~~我不是相關領域的,我只是知道技術上的一點點皮毛,
但不知道專有名詞中文是啥,所以就自己亂翻了,拍謝~~
※ 編輯: R2003 (27.51.105.19 臺灣), 12/14/2025 14:54:29
30F:→ dantes1013: 歪樓,這跟很多購物網站一樣,預設刷卡成功就儲存資料 12/14 21:55
31F:→ dantes1013: 成扣款卡,那個應該也是預設,然後可以取消的地方讓你 12/14 21:56
32F:→ dantes1013: 找不到,就變相成了消費者同意的 12/14 21:56
33F:→ kkkk1234: 不過「同意綁定」這件事應該在有驗證碼的那封簡訊會告 12/14 22:04
34F:→ kkkk1234: 知就是了 12/14 22:04