LINE Pay 一卡通爆漏洞:未加密網址暴露使用者個資 這樣的資安標準你接受嗎?

LINE Pay 一卡通爆漏洞:未加密網址暴露使用者個資 這樣的資安標準你接受嗎?

▲LINE Pay 一卡通爆漏洞(圖/翻攝自科技報橘)

【本文經合作夥伴《科技報橘》授權轉載,並同意《智慧機器人網》修訂標題,原文標題為《LINE Pay 一卡通爆漏洞:未加密網址暴露使用者個資,這樣的資安標準你接受嗎?》,作者:林厚勳,《智慧機器人網》編輯整理】

文、圖/科技報橘

LINE Pay 與一卡通近日合作推出了電子支付功能,還有合作推出了 LINE Pay 一卡通實體卡片,但最近卻被網友爆料,表示透過特定網址就可取得 LINE Pay 一卡通實體卡的持有者資訊,甚至可進一步利用此漏洞,找出所有持有 LINE Pay 一卡通的使用者。

流水編號 + 未加密網址,LINE Pay 一卡通持有者本名大曝光

據網友表示,LINE Pay 一卡通當初在申請時,提供了一張免費透明實體卡,卡片的背面會有一個 QR Code 與一卡通編號。仔細觀察,會發現一卡通的卡號為 16 位數,其中前 15 位數為流水編號,最後一碼則是檢驗碼。

而網友進一步分析後發現,在卡片上的 QR Code 會導向一個指定的網址,只要在網址中放上卡片的卡號,就可察看卡片持有人的大頭貼與真實姓名。

在網友測試後發現,由於已經知道一卡通卡號的流水編號規則,因此只需在相同網址中帶入不同的數字,就可抓出其他使用者的大頭貼與姓名,若是搭配電腦自動化程式執行,有心人士就可輕易的獲取所有使用 LINE Pay 一卡通的名冊,並且得知對方的一卡通卡號、大頭貼與真實姓名。

最大的問題在於,這樣一個查詢的流程並不需要當事人的同意,任何人只要取得了該網址與一卡通卡號就可進行查詢,無須完成任何的轉帳交易。

交易未完成即可單方面查看本名,律師:可能觸犯個資法

這樣交易未完成就可看見本名的資訊,讓許多民眾議論紛紛。有網友就表示,如果轉帳手續完成後,顯示交易雙方的本名倒沒有什麼問題,但是在沒有完成交易前就顯示本名,對於那些不想任意讓自己本名暴露的人來說等於是侵犯隱私;其他網友則表示,其實不一定要顯示真名,也可顯示雙方設定的暱稱,並加上電子支付帳戶的號碼做為核對即可。

另外也有律師表示,一個人的任何資訊都算是其個人資料的一部分,因此若是企業沒有做好防護,任意的暴露使用者本名,已經有違反個資法的嫌疑。

官方:符合金管會法令,無犯法問題

對此, 一卡通官方表示,由於電子支付法令推定,在轉帳時必須揭露交易者本名等資訊,因此他們顯示交易雙方本名的作法在各資法中是可以豁免的,沒有違反個資法的問題。

只是,雖然沒有違法疑慮,但是 LINE Pay 一卡通的作法恐怕還是會引起許多人的擔憂,畢竟有些人就是不想被知道真實姓名,且未來也很難保證不會有其他的資訊被洩漏,或是目前洩漏的相關資訊被作為其他利用用途的可能。

─ ─

參考資料來源:
《TechOrange》:LINE Pay 攜手「一卡通」推電子支付功能,跨行轉帳、掃碼付款不是問題 
批踢踢實業坊:Re: [新聞] 驚!Line Pay 一卡通露本名業者:依循 
TVBS: 驚!!Line Pay 一卡通露本名 業者:依循法規 
科技新報:LINE Pay 一卡通恐洩隱私,網傳撈個資攻略

熱門標籤

留言

延伸閱讀