板上好像没人关注这个新闻,特地转来 bignoob 网友的分析告诉大家有多严重。
简单说就是转帐时需要银行帐号,你可以试试看转钱进去来猜有没有这个帐号存在,
但是没有系统可以让你查这个帐号的所有人的个资。
而 LINE Pay 加一卡通这个系统,只要会写程式,就有可能可以扫出所有的卡号跟部
分个人资料!
※ [本文转录自 MobilePay 看板 #1RdavzBU ]
作者: bignoob (有我嫩吗) 看板: MobilePay
标题: Re: [新闻] 惊!Line Pay一卡通露本名业者:依循
时间: Sun Sep 16 20:37:08 2018
大家都知道
LINE PAY 一卡通所免费提供的透明卡,
背面有个QR CODE,以及一卡通卡号
一卡通卡号是15码流水序号+第16码检核码
EX:
1007-0118-0000-0000
而该QR CODE记载内容,只是利用一卡通卡号所编写的网址而已,像是这样:
https://line.me/R/ch/ZZZZZ/?forwardPath=/c2c/transfer&no=XXXXX&type=svc
ZZZZ是一串数字,但在转帐时不是必填项目,可以简写成以下网址,同样可转帐:
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXX&type=svc
只要把no=XXXXX改成你的透明卡卡号,就可以直接转给你了
Q:那你会问说,又没人会知道我的一卡通卡号,有差吗?
A:你可以试试看把你自己的卡号第15码减1,并尝试把第16码检核码所有可能带入网址:
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX80&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX81&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX82&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX83&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX84&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX85&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX86&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX87&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX88&type=svc
https://line.me/zh-hant/?forwardPath=/c2c/transfer&no=XXXXXXXXXXX89&type=svc
然后透过 QR CODE 编辑器,把网址贴进去
https://qr.ioi.tw/zh/
贴进去之后,透过LINE PAY一卡通的转帐功能,扫瞄那10个 QR CODE
是不是就轻易看到别人的:大头贴、暱称、真实姓名了呢~
你又说这样子人工有点慢?
那是不是透过程式写一段产生所有可能的QR CODE语法,并且搭配手机运行脚本
自动扫描画面、点击转帐按钮、纪录扫描成功的大头贴、暱称、真实姓名
是不是就可以找出所有LINE PAY一卡通透明卡的持卡人资讯了呢?
作者:
docsis (docsis)
2017-09-16 20:42:00那个QR Code之前就解读出来了XDD然后
作者:
Sheng98 (贱狗的窝)
2017-09-16 20:45:00暗黑法
作者:
docsis (docsis)
2017-09-16 20:48:00诈骗集团又有新idea了XDD来 资料捞下去
作者:
samok (☺☺☺☺☺☺☺☺☺☺☺)
2017-09-16 20:52:00感谢分享
作者:
PAYPASS (wallet )))) $$$$$$$$$$$)
2017-09-16 21:02:00然后呢 要转钱给我吗
作者:
bignoob (有我嫩嗎)
2017-09-16 21:17:00FB别人不一定捞的到真实姓名 这个捞到100%是正确的
作者: frank2411 (Frank) 2017-09-16 21:39:00
那个所谓的真实姓名有可能不是对的,因为当时我名字输入错了没发现,就直接下一步,系统应该是没验证有没有key错,当下就完成申请帐号,直到我要转帐时才发现名字怎么是错的,目前也没地方让我可以更正名字 QQ
作者:
docsis (docsis)
2017-09-16 21:42:00楼上这个厉害欸电支要实名 实名打错的名字还给过XDD
作者:
Sheng98 (贱狗的窝)
2017-09-16 21:42:00应该要联络 LINE Pay 一卡通客服看是否要写个资修正的申请书吧
作者: frank2411 (Frank) 2017-09-16 21:49:00
他可能只验证身分证号和补换发日期吧,我也是超傻眼的
作者:
docsis (docsis)
2017-09-16 22:12:00内政部那个网站好像确实是验证这两个没错XDD
作者:
itac (阿克)
2017-09-16 22:14:00那干脆重新注册个暱称好了
作者:
docsis (docsis)
2017-09-16 22:15:00一卡通的帐号现在没办法自己销吧
作者:
now99 (陈在天)
2017-09-16 22:31:00联征P11能过?还是一卡通没去验XD
作者:
barkids (solar)
2017-09-16 22:32:00确实足堪构成注销一卡通帐户之理由
作者:
ericsg (ericsg)
2017-09-16 22:37:00主要是这些业者 根本不给消户啊一卡通果然是公股事业 还不出来说明
作者: grantchuang 2017-09-16 22:44:00
请问如果line里面取消一卡通连结,这网址还会有效吗?
作者:
docsis (docsis)
2017-09-16 22:48:00正常来说是不会
作者: grantchuang 2017-09-16 23:10:00
我等不及客服回应了,按了取消一卡通连结+解约,linepay一卡通掰掰~~还好line point还在。
作者:
barkids (solar)
2017-09-16 23:11:00恕直言回报,刚照本篇做法,已轻易随机得到多笔陌生个资
作者:
xtt (哔踢踢)
2017-09-16 23:16:00高调
电子支付条例是有写到销户这件事的,但要求所有的交易纪录要保存五年
作者:
taller (要坚持下去啊啊啊)
2017-09-16 23:40:00吓到我马上砍卡跟银行帐户了
作者: saintshield (FON 真是好物) 2017-09-16 23:41:00
这样还有人护航 是诈骗集团 还是一卡通派来的吗
作者: GravityWave (SpongeBob SquarePants) 2017-09-16 23:41:00
官方Q&A中有写一卡通帐户一次只能登录一个line帐号,我推想...应该可以把一卡通帐户登录到分身的line帐号,这样子原帐号就不用解约,line pay记录就不会消失了,但是我没有多余的手机跟门号可以创line分身测试,有兴趣的可以试试看
莫急莫慌莫害怕 你没实名怎么扫别人条码?每个交易都是有纪录的 即便你没有真的转钱出去
作者: GravityWave (SpongeBob SquarePants) 2017-09-17 00:14:00
不过,以上方法只是把line跟一卡通帐户之间的关系解除而已,QR的那串网址还是可以靠输入数字串查到个资,既然是金管会认可的“帐户”,开户者若不想使用了应该要有权利销户才对!
作者:
barkids (solar)
2017-09-17 00:21:00没转钱出去是不会有任何“交易”纪录的,相反的可以在第一个画面得手个资就退出无误喔~ 还是真的试过了再来说吧
“查询”也是“交易”,都会有纪录的。每年会稽核:(信不信由您囉
作者:
kiloga (嘎嘎)
2017-09-17 00:26:00可怕…
作者:
barkids (solar)
2017-09-17 00:30:00恕直言~ 以官方说法与立场来洗白带风向无用~ 实际改善作为才是挽救商誉的永续做法
作者:
bignoob (有我嫩嗎)
2017-09-17 00:34:00用事后的稽核来档事前的个资泄漏,这逻辑不太对吧,个资泄了就是泄了,我找个人头是不是就可以全身而退了呢
能找到身分证字号一样的人头,的确是可以唷(笑)这串到底是谁在带风向 又是谁abuse服务呢那讲到逻辑当然是原po逻辑最正确了,不然早就删文了
作者:
bignoob (有我嫩嗎)
2017-09-17 00:39:00原来现在是在检讨找到漏洞的人,把找到漏洞的人嘴堵住,漏洞就消失了
作者:
Sheng98 (贱狗的窝)
2017-09-17 00:40:00在想会不会过没几天就出现这篇漏洞报导了
怎么,没有顺着风向走就是护航?这里又不是行动支付黑特版 只能骂然后这就不是漏洞,原Po硬要说是漏洞也是自由啦另一家不用打全名还能转的机制还没上新闻比较有趣
我就不懂你一直贴别人自助餐的标签是在干嘛?MobilePay板基本上大家都知道刚上线会不稳,对处理个资的作法提出疑虑就被你呛只想拿点数,是有事吗?大家基本上都是期待才会使用啊而且马上对号入座也是很可爱前篇贴的规则就有写到姓名“或”名称了,请问新闻点是?
作者:
prussian (prussian)
2017-09-17 00:51:00新闻点就是,名称应该都是要法律上有效力的名称不是自以为的随便取个小名都可以.. 前面回文的推文有讲
感谢p大提醒。我只觉得LP随意点选就可以显示对方登记的实名很有疑虑
作者:
winsonwu (winson)
2017-09-17 01:03:00我想收付款方要出示姓名大家绝对没疑问的呀!但现在是任何人单方加入就能看到或者QR捞就.....反正会用的就用
作者:
prussian (prussian)
2017-09-17 01:04:00猪猪: 请金管会不要再护..喵的同业你们怎么都站那边去了同业: 你是不是觉得怎么路上的车都逆向...
作者:
docsis (docsis)
2017-09-17 01:05:00弱弱的问 猪猪是谁
作者:
winsonwu (winson)
2017-09-17 01:06:00觉得街口单纯只用暱称不OK的也可高调啊XD
作者:
prussian (prussian)
2017-09-17 01:08:00作者:
docsis (docsis)
2017-09-17 01:08:00可以高调啊 只是怎么街口都开放半年以上才提出来XDD反正大家有问题提出来被讨论看到电支法那边才有机会修正的更好吧?
作者:
prussian (prussian)
2017-09-17 01:09:00不过一卡通和LINEPAY个资不能互通的话会很难搞就是了如果要自己输入姓名 应该很多人尝试的动机会被浇熄
作者: GravityWave (SpongeBob SquarePants) 2017-09-17 01:11:00
既然是“帐户”,实名制当然是必须的,我想没人会反对,但是透过QRcode解码+暴力法可以随机得到陌生人的资料,这问题就大了,即使只能随机取得&被看到不会怎样,仍然是暴露个人隐私的行为,一卡通应该保护用户隐私才对
作者:
itac (阿克)
2017-09-17 01:16:00现在一卡通可能会说揭露姓名不违反法规云云,知道姓名也不能如何,但是他真的不顾使用者的担忧吗?
作者: GravityWave (SpongeBob SquarePants) 2017-09-17 01:19:00
楼上,以目前新闻看来,一卡通似乎打算这么做
作者:
kvhiucn (View)
2017-09-17 04:22:00想消户了
作者:
mike0608 (Mike Wu)
2017-09-17 07:11:00现在连不用好友都可以查个资了 全台最大免费个资数据库上线囉
作者:
cityport (马路不平避震故障)
2017-09-17 07:32:00有个工读生一直拼命想替一卡通消毒,来人啊,赏他500
作者:
now99 (陈在天)
2017-09-17 07:41:00个资问题投诉金管会比较快,直接下公文修改,而且街口暱称转帐都半年了代表金管会也默认了
作者:
mike0608 (Mike Wu)
2017-09-17 08:07:00话说银行帐户转帐都不用揭露名字 怎么电支会要…蛮奇怪的
作者:
longya (嗯)
2017-09-17 08:52:00直接讲人工读生这指控也是满严重而且很没水准的…把八卦板那一套收起来不要到处秀好吗
作者:
kouta (Kk)
2017-09-17 09:12:00现在只有临柜汇款才要名字吧 硬凹
作者:
MixBear (米克斯)
2017-09-17 09:26:00line非好友及设定没关随意打电话也可以找到大头贴跟姓名啊XD 只是错误有限次数而已有些人暱称都是用本名QQ
作者:
bignoob (有我嫩嗎)
2017-09-17 09:31:00取消允许被加入好友,就搜不到了暱称你可以选择随意输入,这个你想藏姓名都藏不了
作者:
iorittn (IORITTN)
2017-09-17 10:28:00依这样看,没申请那张透明卡会有事吗?
作者: avialin (霏) 2017-09-17 10:51:00
看了这文觉得申请透明卡真的是错误的选择
没申请卡一样有事啊 只要你有注册一卡通帐户 就中标囉啊我说的是姓名的问题 sorry 请忽略我
作者:
atb (Transition)
2017-09-17 11:00:00原po可以实际实验看看吗?当然个资的部分要隐码
作者:
bignoob (有我嫩嗎)
2017-09-17 11:34:00每个人都可以试, 但试的结果当然不宜贴出来
作者:
winsonwu (winson)
2017-09-17 12:27:00LINE好友至少还可设定不让人轻易被搜出来,但一卡通和LINE分别独立所以LINE就算已删除封锁都没用这算是两家公司合作的后遗症吧
作者:
rial (deoo)
2017-09-17 13:22:00line pay一卡通违反个资法了,立委、检察官还在睡?????
作者:
nadoka (å°é‚£ 娜豆å¡)
2017-09-17 13:25:00就说没违反了是谁在睡...
我稍早试 试不出来....卡号确认了多次应该输入正确才是
作者:
winsonwu (winson)
2017-09-17 13:40:00楼上卡号测试是测自己的卡号?
作者:
Sheng98 (贱狗的窝)
2017-09-17 13:45:00作者:
barkids (solar)
2017-09-17 15:55:00试出5位了...这才是令人震惊的
借转八卦板或者请发文的 bignoob 转一下,这事情很大条啊
作者:
bignoob (有我嫩嗎)
2017-09-17 16:05:00请转