離開
進入外送App綁手機成漏洞》 銀行:某平台完全不驗證 才是漏洞
銀行業表示,某知名外送平台,並不進行信用卡的身分驗證。圖為示意圖,與新聞無關。(記者簡榮豐攝)
〔記者李靚慧/台北報導〕警方查獲吳姓男子利用外送平台手機門號綁信用卡盜刷8百萬,知情銀行業者表示,「手機門號綁信用卡」並不能將此視為「漏洞」,因為原本的目的就是在確認持卡人與手機持有人為同一人後,便利持卡人在平台上快速消費;關鍵在於被利用作為盜刷的某知名外送平台,並不進行信用卡的身分驗證,經記者實測,拿一張從未在該平台綁定使用的信用卡,直接輸入卡號及到期日等資料,完全無需驗證身分,就完成訂餐。
銀行業者表示,包括Uber Eats、foodpanda等線上訂購平台,因為具備「單筆金額小」、「每日交易筆數龐大」等特性,因此業者捨棄逐筆「OTP驗證」或「3D驗證」的方式,讓持卡人將信用卡綁定手機申請的帳戶即可消費。不過因不時有盜刷情形發生,經銀行了解才發現,該平台完全沒有進行持卡人身分驗證;也就是說,無論有沒有綁定信用卡,或只是輸入一張卡片資料,都可輕鬆完成交易,難怪成為歹徒利用的對象。
此次被逮的不法集團,因為工作之便,可以取得門號及持卡人個資等資料,「利用外送平台系統綁定手機門號漏洞」。銀行業者直言,這其實是歹徒發現了外送平台完全不進行信用卡交易驗證的漏洞,而這家知名外送的收單機構,似乎也沒有進行控管,才會出現近千筆交易、高達800多萬元的瘋狂盜刷行為。
銀行業者表示,平台不做信用卡交易身分驗證,銀行根本拿他沒轍,畢竟銀行不能因此限制持卡人不在此平台消費,但銀行內部必須有監控機制,以求自保。例如發卡行本身必須設定交易限制,包括「短時間連續交易達多少筆」、「每日交易金額達到多少元」就鎖卡無法繼續消費,除非持卡人致電客服,確認身分後,才會繼續放行,以遏阻盜刷。
此外,針對這類不進行消費驗證的特約商店,如果發生盜刷,賠償的責任在收單機構及特約商店身上,因此這8百萬元損失,並不會由持卡人、發卡行承擔。
