五倍券綁定驗證碼驚傳「一鍵破解」 PTT集體傻眼:資安0分

▲▼五倍券綁定驗證碼驚傳「一鍵破解」 PTT集體傻眼:資安0分。(圖/翻攝自PTT)

▲台灣Pay綁郵局VISA遲遲等不到簡訊?網友一鍵F12竟找到驗證碼。(圖/翻攝自PTT/點圖可放大)

記者柯沛辰/採訪報導

五倍券數位綁定、8大加碼券登記22日上午9點開放登記,不料出現官網塞爆當機,導致大量民眾遲遲收不到手機驗證碼,而且災情集中在台灣Pay綁郵局VISA。不過,有網友瀏覽網站時,無意間按下F12,檢視網頁原始碼,竟意外「破解」驗證碼,讓許多人紛紛直呼「太扯了」、「資安0分」。

許多民眾22日使用台灣Pay綁定中華郵政VISA卡,卻苦等不到OTP。對此,有網友在PTT八卦版發文指出,當時他等不到驗證碼,隨手按下F12檢視原始碼,在Network欄位中找到sendSMS(若未看到sendSMS,要按「重新發送」),就可以看到網站回傳的JSON text格式資料,裡頭recPhoneCode的參數(引號中的數字)就是驗證碼。

[廣告]請繼續往下閱讀...

一名工程師受訪時說,設計者可能是想先做前端驗證,以便快速回傳使用者驗證結果,但這樣的寫法不嚴謹,也會有資安疑慮,「代表我只要取得你的身分證和手機號碼,就能隨便替你綁定,因為簡訊驗證的目的,是為了證明本人在操作綁定動作,但這樣的寫法,會讓簡訊二次驗證完全沒有意義。」

文章一出,網友紛紛好奇嘗試,結果驚奇發現「真的可行」、「郵局資安這樣太誇張了吧」、「太扯了,竟然有用」、「資安零分」、「天才的外包」、「大學生都不會這樣寫」、「這篇救了好多人」、「原來驗證碼不用等他寄,太貼心了吧」、「嚴重資安漏洞,看業力怎麼引爆」。

▼五倍券綁定、加碼碼日期;點圖可放大。(圖/五倍券官網)

▲▼各部會加碼券。(圖/取自五倍券官網)

▼原PO說,「有OTP才能更有效地防止別人亂綁,但這個實作的邏輯...」(圖/翻攝自PTT)

▲▼五倍券綁定驗證碼驚傳「一鍵破解」 PTT集體傻眼:資安0分。(圖/翻攝自PTT)

►按這訂閱Podcast《小編沒收工》每天給你熱門話題10分鐘

分享給朋友:

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面