【更新聲明】LINE Pay 一卡通恐洩隱私,網傳撈個資攻略

作者 | 發布日期 2018 年 09 月 17 日 8:52 | 分類 Fintech , 行動支付 , 資訊安全 follow us in feedly

LINE Pay 一卡通服務自開通以來受到不少消費者的歡迎,尤其是 P2P 轉帳功能,但如今卻發現有個資漏洞。




LINE Pay 與一卡通的合作受到市場相當多的關注,自服務啟動後就有不少民眾申請加入,但也出了不少問題,從伺服器無法負荷、民眾沒收到回饋金、甚至錯發回饋金等問題,反而令民眾有所不滿,還被金管會關切。雖然目前官方出來澄清只是因為湧入人數過多導致系統不穩,所有錯發的回饋金不會收回,但如今又出現了新的問題。

有民眾反應,在使用 P2P 轉帳功能時,就算不用到實際轉帳步驟仍然可以看到對方的真實姓名有洩漏個資的疑慮。尤其  LINE 好友是可以單方面的加入,等於是隨時都可能看到陌生人的本名。有律師表示,這觸犯了個資法。不過目前官方表示,這是遵循電子支付法令,所以豁免個資法的問題。

不過也有網友去查詢相關法規指出,只要顯示收、付款方姓名「或」名稱及其電子支付帳戶帳號即可,並無強硬規定顯示真實姓名。而民眾也反應,若真的轉帳成功顯示真實姓名也無妨,但不需要真的轉帳就可以看到真實姓名就很有問題。

尤其更有民眾發現,其贈送的實體卡面上的 QR Code 也有洩漏個資的疑慮。網友指出,一卡通卡號是 15 碼流水序號+第 16 碼檢核碼,而該 QR Code 記載內容,就是利用一卡通卡號所編寫的網址。

重點是,只要將自己的卡號第 15 碼減 1,並嘗試把第 16 碼檢核碼的所有可能帶入網址,然後透過 QR  Code 編輯器,把網址貼進去之後,透過 LINE Pay 一卡通的轉帳功能,掃瞄那些 QR  Code 就可輕易看到別人的大頭貼、暱稱及真實姓名。而這些動作雖然看起來繁複,但可以透過編寫程式腳本來自動進行。

雖然  LINE 的確是市面上相當便利的通訊軟體,但也逐漸成為詐騙集團進駐的目標,滲透用戶竊取個資甚至是進行詐騙行為的事例層出不窮,尤其利用自動化技術等假 Call 客手法也開始被討論。在民眾享受便利的同時,這些社群通訊軟體也逐漸成為社會的隱憂。不少已申請帳戶的民眾,開始在詢問銷號的方法。

官方回應

根據一卡通公司最新聲明指出,部分民眾關心為何不採用法規同樣允許之「名稱」而僅使用「姓名」,本公司認為該條文所指「名稱」係用於非個人使用者,如法人、商家等,個人使用者仍應使用「姓名」,方能符合法規訂定之意旨。

此外,有民眾發現依據「LINE Pay 一卡通帳號」開戶贈送之實體卡面上的 QR Code 規則,可採試誤性方式透過 LINE Pay 一卡通轉帳功能而看到他人的大頭貼、暱稱及真實姓名。由於該實體卡面之 QR  Code 係為便利使用者提供予他人轉帳之用,故掃描 QR Code 自會連動到轉帳資訊確認頁面,如前所述,依法須揭露付款方與收款方之姓名或名稱及其電子支付帳戶帳號。

而因ㄧ卡通帳戶採實名機制,對於民眾使用本項服務疑有大量或不正常試誤當事人 QR Code 之情形時,為保護當事人隱私,系統將予以「警示」,並聯繫該用戶了解原因,避免該用戶發生未經當事人同意致違法蒐集個資之情形。

(首圖來源:科技新報)

延伸閱讀:

關鍵字: , ,