2018 / 09 / 20 更新:一卡通公司在經主管機關同意後,已於 9 月 20 日更新系統處理方式,詳細請見以下文章:
LINE Pay 一卡通轉帳洩用戶本名,官方回覆:將改採部分遮罩方式處理
LINE Pay 與一卡通近日合作推出了電子支付功能,還有合作推出了 LINE Pay 一卡通實體卡片,但最近卻被網友爆料,表示透過特定網址就可取得 LINE Pay 一卡通實體卡的持有者資訊,甚至可進一步利用此漏洞,找出所有持有 LINE Pay 一卡通的使用者。
流水編號 + 未加密網址,LINE Pay 一卡通持有者本名大曝光
據網友表示,LINE Pay 一卡通當初在申請時,提供了一張免費透明實體卡,卡片的背面會有一個 QR Code 與一卡通編號。仔細觀察,會發現一卡通的卡號為 16 位數,其中前 15 位數為流水編號,最後一碼則是檢驗碼。
TO 編按:檢驗碼通常為將前面數字帶入特定公式後所計算出來的數字,可作為初步檢驗編號是否存在的依據。
而網友進一步分析後發現,在卡片上的 QR Code 會導向一個指定的網址,只要在網址中放上卡片的卡號,就可察看卡片持有人的大頭貼與真實姓名。
在網友測試後發現,由於已經知道一卡通卡號的流水編號規則,因此只需在相同網址中帶入不同的數字,就可抓出其他使用者的大頭貼與姓名,若是搭配電腦自動化程式執行,有心人士就可輕易的獲取所有使用 LINE Pay 一卡通的名冊,並且得知對方的一卡通卡號、大頭貼與真實姓名。
最大的問題在於,這樣一個查詢的流程並不需要當事人的同意,任何人只要取得了該網址與一卡通卡號就可進行查詢,無須完成任何的轉帳交易。
交易未完成即可單方面查看本名,律師:可能觸犯個資法
這樣交易未完成就可看見本名的資訊,讓許多民眾議論紛紛。有網友就表示,如果轉帳手續完成後,顯示交易雙方的本名倒沒有什麼問題,但是在沒有完成交易前就顯示本名,對於那些不想任意讓自己本名暴露的人來說等於是侵犯隱私;其他網友則表示,其實不一定要顯示真名,也可顯示雙方設定的暱稱,並加上電子支付帳戶的號碼做為核對即可。
另外也有律師表示,一個人的任何資訊都算是其個人資料的一部分,因此若是企業沒有做好防護,任意的暴露使用者本名,已經有違反個資法的嫌疑。
官方:符合金管會法令,無犯法問題
對此,一卡通官方表示,由於電子支付法令推定,在轉帳時必須揭露交易者本名等資訊,因此他們顯示交易雙方本名的作法在各資法中是可以豁免的,沒有違反個資法的問題。
只是,雖然沒有違法疑慮,但是 LINE Pay 一卡通的作法恐怕還是會引起許多人的擔憂,畢竟有些人就是不想被知道真實姓名,且未來也很難保證不會有其他的資訊被洩漏,或是目前洩漏的相關資訊被作為其他利用用途的可能。
─ ─
參考資料來源:
《TechOrange》:LINE Pay 攜手「一卡通」推電子支付功能,跨行轉帳、掃碼付款不是問題
批踢踢實業坊:Re: [新聞] 驚!Line Pay一卡通露本名業者:依循
TVBS:驚!!Line Pay一卡通露本名 業者:依循法規
科技新報:LINE Pay 一卡通恐洩隱私,網傳撈個資攻略
(本文提供合作夥伴轉載,首圖截圖來源:LINE Pay 一卡通官方網站。)
更多你想知道的文章
LINE Pay 攜手「一卡通」推電子支付功能,跨行轉帳、掃碼付款不是問題
檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光
知名問卷平台 Typeform 遭駭資料外洩,影響全球眾多知名企業