Line pay 一卡通被盜領 - LINE Pay

By Quintina
at 2019-11-05T12:12

Table of Contents

昨天看到這篇文時自己就一直在測試

一開始是用同證號不同門號的LINE Pay綁定

此LINE Pay還未綁定一卡通帳戶時在登入LP

會提醒是否建立一卡通帳號 or 登入一卡通帳號

選擇登入會要求登入一卡通帳密→身份證→簡訊驗證

神奇的是簡訊驗證竟然不是由舊號碼A收到認證碼

而是從新號碼B收到認證碼

且綁定過程中舊號碼A不會收到任何通知

只有在打開LINE Pay 會出現原Po那張圖

https://imgur.com/h6LxgOr.jpg

反而是新號碼LINE錢包會通知B號已綁定一卡通

好吧！也許是同證號不同門號所以可以收到OTP

晚上下班用我太太的LP綁定我的一卡通帳號

如上在知道一卡通帳密和身份證情況下

由我太太手機收認證碼之後完美綁定一卡通帳戶

而銀行帳戶都在

所以當知道一卡通帳密和身份證字號三者後 OTP是無效的

這也許是因為LP和一卡通帳戶分別為不同業務而造成的漏洞

不然對於不同證號的手機可以綁定且舊號碼沒任何警告這很匪夷所思

然後舊號碼看到此畫面後可繼續使用LINE Pay

需輸入原本LINE Pay 卡號

再由LINE撥號進來告知認證碼輸入完後

才由Email 收LP臨時密碼最後才更改LP 支付密碼

再來會問是否綁定一卡通帳號

當然可以在把原本一卡通帳號綁回來

不過以下狀況個人昨天為了方便測試因此支付密碼是設一樣

在LP綁定一卡通帳號時會告知說一卡通帳號密碼會結合LP支付密碼

因此不曉得若由B者綁定已破解的一卡通帳密

被盜者是否能在由原本的一卡通帳密+身份證字號綁回

或者只能使用忘記密碼

當使用忘記密碼時，某板友有推文提過原綁定的銀行帳號通通解綁

以上為個人測試狀況

希望有勇者能測試一下街口的部份

後半段修正一下依照一卡通QA密碼會以一卡通帳戶支付密碼為主

https://imgur.com/HqnxoU0.jpg

而非原本所寫以LP支付密碼為主

因此下面提到當得知一卡通帳號+一卡通支付密碼+身份證字號

可以無痛由A LP轉B LP再轉C LP是沒問題的
--

Tags: LINE Pay

All Comments

By Candice
at 2019-11-08T02:02

"忘記密碼時，某板友有推文提過原綁定的銀行帳號通通解"
那這樣怎麼還有會被盜款問題?

By Edith
at 2019-11-08T18:07

最多是已儲值到帳戶部分被轉到別銀行帳戶

By David
at 2019-11-08T19:33

因為當一卡通帳號被他人綁定後，被盜者是被動知曉，LINE

By Aaliyah
at 2019-11-12T01:21

不會被立即通知，然後在知道一卡通帳密+身份證字號的情
況下是可以完美由A門號LP 轉至 B門號LP

By Aaliyah
at 2019-11-12T13:12

這過程中銀行完全不會解綁，因此當我一卡通帳密和身份證

By Lucy
at 2019-11-14T18:32

不變可以無痛由A轉B甚至轉C都可以
不過轉C可能就得先知道B的支付密碼就是除非像我測試一樣

By Skylar Davis
at 2019-11-17T15:50

支付密碼都設相同

By Lauren
at 2019-11-22T13:10

我覺得這問題點卡在OTP在這轉移過程中根本無效

By Rae
at 2019-11-23T12:50

請問可以關掉轉帳功能嗎?自用都是儲值跟提領不會有轉帳

By Genevieve
at 2019-11-24T05:43

一卡通的資安真的要再加油，之前查卡片餘額的iPASS一卡通
APP還會莫名出現別人的卡片(卡號)....

By Rachel
at 2019-11-25T03:04

感覺起來一卡通那邊只有認證帳密和身份證字號，電話是從
LINEPAY那邊抓過來的（可能是LINEPAY原本的機制）

By Victoria
at 2019-11-26T20:27

大概就如原PO所猜測的，是因為LINEPAY和一卡通分開造成

By Michael
at 2019-11-28T23:02

的BUG

By Elvira
at 2019-11-29T22:01

拉基幸好我只用純綁銀行卡功能

By Cara
at 2019-12-01T06:06

這麼嚴重的漏洞，記者朋友快來

By Carol
at 2019-12-04T06:23

昨天看到文章就秒解綁定太可怕

By Erin
at 2019-12-05T12:06

推實驗精神,昨天才加入打算領6號的新戶禮就遇到這種事

By Joseph
at 2019-12-05T20:51

用忘記密碼重新綁定時，所有銀行帳戶都會自動解綁

By Jacob
at 2019-12-08T01:44

這太複雜記者不一定看得懂

By Emily
at 2019-12-08T05:38

跟日本小7異曲同工
等一下員工吃完午飯回來就會開始洗風向了

By Yuri
at 2019-12-12T04:48

其實我比較好奇街口異機異號怎綁定的有沒有勇者測試呀

By Harry
at 2019-12-15T17:09

街口要收原號otp

By Hardy
at 2019-12-16T06:48

改號碼要到街口裡面改了

By Agatha
at 2019-12-18T09:32

#1TkvNatz 噓的人要不要土下座

By Frederica
at 2019-12-22T01:52

推原PO親身測試

By Kelly
at 2019-12-27T01:13

#1TkvNatz 帳戶被破解跟盜刷完全兩碼子事情吧

By Aaliyah
at 2019-12-31T05:59

推詳細測試並且分析可能漏洞提醒大家

By Ida
at 2020-01-03T13:22

先確定是line自己出包不是原po流出帳密再說

By Belly
at 2020-01-04T14:36

我覺得比較偏單一個案如果是系統被駭受害者不只一位

By Daph Bay
at 2020-01-05T12:49

謝謝原PO測試提醒

By Tom
at 2020-01-08T09:46

有夠複雜...看到眼花了

By Freda
at 2020-01-09T19:04

不綁手機號碼蠻奇怪的，交易類綁註冊時手機號應該是基本
的？

By William
at 2020-01-10T13:56

看不太懂 @@

By Dora
at 2020-01-13T17:16

比想像中的還容易耶

By Bennie
at 2020-01-15T17:51

喔喔但是第三者要知道一卡通帳號+支付密碼+身份證字號

By Isabella
at 2020-01-19T14:42

的情況有點不容易吧

By Enid
at 2020-01-21T14:31

秒解綁定太可怕

By Yedda
at 2020-01-23T13:17

兩步驟驗證機制失效的意思

By Margaret
at 2020-01-24T10:49

感覺目前這幾家電子支付,還是單只綁信用卡消費就好

By Genevieve
at 2020-01-28T20:17

推原po實驗精神，不知道苦主用那一隻手機@@

By Blanche
at 2020-01-31T04:22

投訴金管會應該可以懲處了

By Michael
at 2020-02-02T17:33

至少信用卡的損害控制目前都還OK

By Ida
at 2020-02-07T14:30

我是認為應該要通知的不是舊號碼，而是一卡通帳戶設定的
電話號碼。因為你有可能會換電話號碼，這個設定不是不好
，只是差在他並沒有讓一卡通帳戶有電話號碼的綁定

By Dorothy
at 2020-02-12T01:26

如果一卡通帳戶換電話號碼就稍微麻煩一點，透過客服往來
去更換，像是銀行帳戶更換基本資料那樣。

By Candice
at 2020-02-15T12:21

其實想深一點LP當初是自己申請電支的話，應該是連用LP都

By Edith
at 2020-02-15T16:52

實名制?不然不同名LP和一卡通帳戶能互綁真的也是挺怪

By Todd Johnson
at 2020-02-16T03:14

我還是會支持LINEPAY一卡通帳戶但希望官方改善和解釋
沒必要為了特例不明狀況過度緊張

By Leila
at 2020-02-20T04:56

如果不放心連結銀行內戶頭放小額就好

By Ingrid
at 2020-02-22T14:49

降看下來麻煩也有麻煩的好處，如果一卡通帳戶像街口那樣

By Irma
at 2020-02-23T18:56

原原PO也不會被動發現被盜領了
至少原原PO會先收到OTP，還有機會立馬改密碼搶救

By Cara
at 2020-02-27T00:59

一卡通應該還是有記錄註冊時的門號,只是在改綁line帳
號時等同可換手機門號,所以驗證碼才會送到新門號,這
跟業務不同無關,是流程設計問題

By Steve
at 2020-02-27T22:25

宿主LINE 和寄生一卡通都沒測試這塊吧

By Quanna
at 2020-03-03T19:12

這邊要改比較簡單的就是一卡通那邊如果偵測到從LINE
那邊抓到的電話不同就全部解綁，不過造成的影響就是如果

By Leila
at 2020-03-06T10:35

有人LINE那邊更改了綁定號碼，一卡通帳戶就要重綁定
不過以一般使用也不會綁了大量帳戶來儲值所以傷害也小，

By Madame
at 2020-03-07T19:59

除非是那種拿他來做轉帳中介用的使用者要全部重綁比較
辛苦

By Noah
at 2020-03-09T23:26

好險我不用一卡通

By Noah
at 2020-03-10T12:46

OTP 改發舊號應該比較好 (舊號不能收就去電信公司重辦sim卡)

By Selena
at 2020-03-13T10:46

只要被釣魚台釣到你帳戶的錢就會消失，洞也太大了

By Callum
at 2020-03-15T15:12

需要的資訊量夠多才能轉移成功，所以之前不太容易觸發這問題

By Iris
at 2020-03-20T04:57

你說的沒錯 otp簡訊驗證根本不會傳到原手機

By Freda
at 2020-03-22T17:21

看了本文和推文的肉身測試，覺得非常震驚！天啊好危險~

By Charlotte
at 2020-03-26T00:35

樓上反應會不會太誇張?

By Gary
at 2020-03-28T07:57

我納悶的是一卡通帳密和身分證怎流出的?!

By Faithe
at 2020-03-29T07:02

應該說盜帳者從哪邊取得這些資訊才對

By Faithe
at 2020-04-01T17:55

網路上帳號密碼被盜用也不是不可能

By Kama
at 2020-04-03T10:58

要掌握這些資訊，通常就認識的人，就像老婆拿老公網銀帳
密操作一樣

By Tom
at 2020-04-03T18:48

如果習慣用同樣帳號密碼的話，就有可能在某些網站洩露

By Joe
at 2020-04-05T05:05

出去，不過我覺得這種盜用手法應該是新的

By Adele
at 2020-04-07T06:32

有身分證字號應該是認識的人所為？不然一般流出帳號密碼
很難取得身分證字號

By Anthony
at 2020-04-07T13:57

完全照設計流程去走被盜除非是熟人，不然要取得個資應該
沒那麼容易，看原原PO說客服也不知道怎麼被盜的，也許有
其他的漏洞

By Oscar
at 2020-04-12T10:50

真得扯，完全不會傳到原本註冊的手機和電子信箱

By Robert
at 2020-04-15T23:58

如果是身旁之人，一卡通帳號不難知道，點LINE PAY即顯示

By Quanna
at 2020-04-18T21:01

客服不知道怎麼被盜的很正常，如果帳密加身份證都知道的話

By Megan
at 2020-04-21T22:47

從系統來看那就跟正常轉移一樣

By Eden
at 2020-04-23T08:35

有些網站註冊會要帳密加身分證字號如果這些網站後面防護
做不好其實很容易流出

By Jake
at 2020-04-24T04:05

不從舊的號碼拿到驗證碼可能會考慮是舊手機掉了要換號

By Jacky
at 2020-04-28T14:34

但至少改綁定應該要送email出去比較合理

By Hedwig
at 2020-04-30T11:35

包含一些公家的網站也是有這些資料然後系統都外包的

By Anonymous
at 2020-05-04T18:44

舊的就算不收otp，也該發簡訊通知已解綁，甚至email通
知都還不夠即時，一定要發簡訊給舊號碼

By Vanessa
at 2020-05-06T05:49

有些網站註冊就要身份證＋email＋密碼如果有網站被駭或
員工或外包拿去賣你又其他地方又用一樣的資料註冊就很
可能被盜

By Audriana
at 2020-05-07T10:56

謝謝測試之前的文章居然都先檢討po文者

By Steve
at 2020-05-11T01:02

忘記密碼不會造成原綁定銀行失效

By Dinah
at 2020-05-11T10:48

在神不知鬼不覺的移轉過程中，舊號竟得不到任何通知，連
被警示及時救濟的機會都沒有，這當然是明顯重大危險！

By Catherine
at 2020-05-15T16:01

據我所對方就是用忘記密碼這功能所以不用知道我的
密碼但要知道我的身分證字號及LP一卡通ID

By Harry
at 2020-05-17T03:31

因為這件事已經報警了所以我不知道如果再多說什麼
會不會造成法律問題

By Eden
at 2020-05-19T16:26

我昨天就試過忘記密碼，銀行帳號全數解綁，不管是儲值或
提領

By Yuri
at 2020-05-20T03:03

除非他們之後有更新過，不然昨天早上的機制是這樣

By Aaliyah
at 2020-05-22T07:48

還好一卡通可以產生虛擬帳號，我都是手動轉帳

By Gary
at 2020-05-22T11:39

@bignoob 實測的是最新版的LINE嗎？
@bestdekiller 原原po的LINE 是最新版嗎？

By Rachel
at 2020-05-25T08:02

一卡通公司或line pay是否該出面說明一下太可怕了

By Olivia
at 2020-05-29T05:35

太複雜看不懂你也是要知道全部資料才能這樣試吧?!

By Una
at 2020-06-02T00:27

推測試希望快把漏洞補上

By Victoria
at 2020-06-05T07:17

真的很感謝win大做這麼多測試

By John
at 2020-06-07T20:04

一卡通帳號是linepay裡面那張卡上顯示的
一卡通帳戶號碼嗎

By George
at 2020-06-08T15:09

登入一卡通帳戶的 ID

By Eartha
at 2020-06-08T21:27

推實驗精神

By Daph Bay
at 2020-06-09T10:24

除非花掉，不然金流這種哪可能抓不到
而且這都是重罪欸擾亂金融秩序這可以死刑呢

By Brianna
at 2020-06-10T05:51

樓上想太多...又不是幾千幾百萬

By Heather
at 2020-06-10T07:23

三方詐騙就難抓了

By Mia
at 2020-06-11T07:43

某e還在拼命護航耶，又是個案又是原原PO自己外流帳密

By Oliver
at 2020-06-15T02:43

檢討受害者真的是鬼島才有的世界奇觀

By Iris
at 2020-06-19T09:24

推

By Elizabeth
at 2020-06-23T09:36

沒什麼好護不護航的問題要知道系統被破解或是入侵

By Linda
at 2020-06-25T07:46

這種層次的問題跟個人因不明因素帳密被盜完全是兩回事

By Andy
at 2020-06-27T08:44

以W大測試來說流程的確有瑕疵但不管是無痛轉移或是
銀行被解除綁定的轉移還是得取得部分個人資訊才有可能

By Audriana
at 2020-06-28T00:54

討論技術上的問題可以自己腦補成檢討受害者?

By John
at 2020-06-28T03:55

要知道舉個例子 YAHOO內部被入侵破解個資外洩跟

By Kelly
at 2020-07-01T06:32

被釣魚導致帳密被竊完全是兩回事因為入侵個資外洩導致

By Audriana
at 2020-07-02T00:18

YAHOO被集體求償判定成立就兩種完全不同層次問題

By Mason
at 2020-07-06T10:21

如果是平台本身漏洞問題接下來肯定陸續爆炸更多受害者
我是寧可不希望是這樣的問題

By Isabella
at 2020-07-08T18:05

1.B知道A一卡通帳號+支付密碼+身份證字號無痛破解OTP

By Gilbert
at 2020-07-13T11:16

2.透過忘記密碼原綁定的銀行帳號通通解

By Rebecca
at 2020-07-17T00:03

不管是1或是2 都還是得取得部分個人保護資訊才可能辦到

By Kristin
at 2020-07-20T07:06

哇塞… 那這還挺危險的… 感謝原po肉身測試分享

By Ophelia
at 2020-07-22T14:43

感謝測試分享

By Olive
at 2020-07-24T06:59

門號綁證號我家人就不用玩了，門號全在我名下合併帳單

By Hedwig
at 2020-07-26T21:23

樓上方便和安全往往都是擇一啦總之使用過程如此

By Edith
at 2020-07-29T22:39

如何防範就是看個人選擇

By Candice
at 2020-08-02T18:46

高調！！神人

By Queena
at 2020-08-07T05:32

感謝測試

By Cara
at 2020-08-07T13:39

推試驗，支持去po八卦版！

Line pay 一卡通被盜領 - LINE Pay

All Comments

Related Posts

Line pay 一卡通被盜領

Line pay 一卡通被盜領

Line pay 一卡通被盜領

7-11 LINE Pay 一卡通 10% 回饋

校園行政規費用LINE Pay，筆筆樂享10%點