LINE Pay 一卡通爆漏洞:未加密網址暴露使用者個資,這樣的資安標準你接受嗎?

2018 / 09 / 20 更新:一卡通公司在經主管機關同意後,已於 9 月 20 日更新系統處理方式,詳細請見以下文章:
LINE Pay 一卡通轉帳洩用戶本名,官方回覆:將改採部分遮罩方式處理

LINE Pay 與一卡通近日合作推出了電子支付功能,還有合作推出了 LINE Pay 一卡通實體卡片,但最近卻被網友爆料,表示透過特定網址就可取得 LINE Pay 一卡通實體卡的持有者資訊,甚至可進一步利用此漏洞,找出所有持有 LINE Pay 一卡通的使用者。

流水編號 + 未加密網址,LINE Pay 一卡通持有者本名大曝光

據網友表示,LINE Pay 一卡通當初在申請時,提供了一張免費透明實體卡,卡片的背面會有一個 QR Code 與一卡通編號。仔細觀察,會發現一卡通的卡號為 16 位數,其中前 15 位數為流水編號,最後一碼則是檢驗碼。

TO 編按:檢驗碼通常為將前面數字帶入特定公式後所計算出來的數字,可作為初步檢驗編號是否存在的依據。

而網友進一步分析後發現,在卡片上的 QR Code 會導向一個指定的網址,只要在網址中放上卡片的卡號,就可察看卡片持有人的大頭貼與真實姓名。

在網友測試後發現,由於已經知道一卡通卡號的流水編號規則,因此只需在相同網址中帶入不同的數字,就可抓出其他使用者的大頭貼與姓名,若是搭配電腦自動化程式執行,有心人士就可輕易的獲取所有使用 LINE Pay 一卡通的名冊,並且得知對方的一卡通卡號、大頭貼與真實姓名。

最大的問題在於,這樣一個查詢的流程並不需要當事人的同意,任何人只要取得了該網址與一卡通卡號就可進行查詢,無須完成任何的轉帳交易。

交易未完成即可單方面查看本名,律師:可能觸犯個資法

這樣交易未完成就可看見本名的資訊,讓許多民眾議論紛紛。有網友就表示,如果轉帳手續完成後,顯示交易雙方的本名倒沒有什麼問題,但是在沒有完成交易前就顯示本名,對於那些不想任意讓自己本名暴露的人來說等於是侵犯隱私;其他網友則表示,其實不一定要顯示真名,也可顯示雙方設定的暱稱,並加上電子支付帳戶的號碼做為核對即可。

另外也有律師表示,一個人的任何資訊都算是其個人資料的一部分,因此若是企業沒有做好防護,任意的暴露使用者本名,已經有違反個資法的嫌疑。

官方:符合金管會法令,無犯法問題

對此, 一卡通官方表示,由於電子支付法令推定,在轉帳時必須揭露交易者本名等資訊,因此他們顯示交易雙方本名的作法在各資法中是可以豁免的,沒有違反個資法的問題。

只是,雖然沒有違法疑慮,但是 LINE Pay 一卡通的作法恐怕還是會引起許多人的擔憂,畢竟有些人就是不想被知道真實姓名,且未來也很難保證不會有其他的資訊被洩漏,或是目前洩漏的相關資訊被作為其他利用用途的可能。

─ ─

參考資料來源:
《TechOrange》:LINE Pay 攜手「一卡通」推電子支付功能,跨行轉帳、掃碼付款不是問題
批踢踢實業坊:Re: [新聞] 驚!Line Pay 一卡通露本名業者:依循
TVBS: 驚!!Line Pay 一卡通露本名 業者:依循法規
科技新報:LINE Pay 一卡通恐洩隱私,網傳撈個資攻略

(本文提供合作夥伴轉載,首圖截圖來源:LINE Pay 一卡通官方網站 。)

更多你想知道的文章

LINE Pay 攜手「一卡通」推電子支付功能,跨行轉帳、掃碼付款不是問題
檔案共享服務 MEGA 爆使用者個資外洩,帳號密碼和檔案名稱全部被看光
知名問卷平台 Typeform 遭駭資料外洩,影響全球眾多知名企業


【徵求產業線編輯 3 名】

工作內容與需求:

1. 高度關注國際科技趨勢、台灣產業新聞
2. 根據月度編輯台企劃,執行編輯、採訪與撰稿工作
3. 進行線上、線下媒體策展
4. 根據不同策展專案進行跨部門溝通
5. 針對網站數據做解讀與優化分析
6. 具有 2~3 年工作經驗的媒體工作者
7. 習慣閱讀《彭博社》、《財富雜誌》、《金融時報》、《Fast Company》者更佳
8. 目標導向思考,對準目標、彈性工作

【應徵方式】

意者請提供履歷自傳以及「相關文字作品」,寄至 [email protected]。來信主旨請註明:【應徵】TechOrange 社群編輯:您的大名

點關鍵字看更多相關文章: