Fw: [討論] 麥當勞app的支付密碼是不是形同虛設

作者: docsis (docsis) 看板: MobilePay 標題: [討論] 麥當勞app的支付密碼是不是形同虛設 時間: Sat Apr 22 17:40:09 2023 如題 前幾天下載重新安裝 發現只要用手機號碼和密碼登入 app居然會直接問你要不要開生物辨識 過程中完全不需要收簡訊 或輸入「任何一次」支付密碼進行驗證 (那這支付密碼到底要幹嘛) 你各位儲好儲滿的自己注意一下 -- -- 通常像其他支付會先 確認過一次你的支付密碼輸入正確 才能開啟生物辨識 有試不需要再輸入喔 簡訊驗證通常在換機時才比較需要啦 不想花錢的話 首次登入後先確認一次使用者支付密碼輸入正確後 才能開啟生物辨識不難吧 支付密碼用意不就是第二道密碼嗎 有板友看懂我要表達的意思了 感動 longly大是另外希望 「登入密碼」和「支付密碼」的生物辨識開關能分開是嗎 你沒看懂啦 登入後app就會問你要不要開啟生物辨識 選擇開啟後付款根本不需密碼 只要用你裝置本身設定的生物辨識即可 從登入到付款完成 都不需要知道你所謂「付款的密碼」 可以嘗試自己重裝(清除資料)app就能理解
※ 批踢踢實業坊(ptt.cc), 來自: 101.136.145.107 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/fastfood/M.1682156765.A.0F3.html

推 im31519: 消費再儲就好了 多儲會生利息嗎？04/22 18:13

→ batis: 所以生物辨識哪裡不對了嗎? 收簡訊印象只有刷卡儲值時有04/22 18:21

推 ARCHER2234: 你應該要試試看開啟生物辨識後需不需要再輸入一次密碼04/22 18:27

→ ARCHER2234: ，說不定他順序反啦04/22 18:27

→ ARCHER2234: 而且最好找另一個人來測試生物辨識這樣才準04/22 18:27

推 snxk: 單次簡訊驗證碼還要花錢耶！台麥…04/22 18:33

→ longlydreami: 的確，只要啟用「登入密碼」的生物辨識，「交易密碼04/22 18:59

→ longlydreami: 」不需要再次確認密碼也會直接同步啟動生物辨識，其04/22 18:59

→ longlydreami: 實就安全性來說不太OK，麥當勞應該就安全性加強一下04/22 18:59

→ longlydreami: 。04/22 18:59

→ longlydreami: 同理，剛剛先以密碼登入APP以後，在「交易密碼」選04/22 19:09

→ longlydreami: 擇開啟指紋辨識，之後登出帳號，一樣不需要輸入「登04/22 19:09

→ longlydreami: 入密碼」就可以直接以生物辨識登入，這樣很顯然不安04/22 19:09

→ longlydreami: 全。04/22 19:09

推 ARCHER2234: 可是就算他成功篡奪了你的帳號，沒有付款的密碼還是沒04/22 19:53

→ ARCHER2234: 用啊？04/22 19:53

→ longlydreami: 對 應該要分開驗證 假設「登入密碼」被盜用，這時他04/22 20:04

→ longlydreami: 只要開啟指紋辨識等於可以直接無條件突破「交易密碼04/22 20:04

→ longlydreami: 」的限制，這樣交易密碼等於形同虛設04/22 20:04

→ jay0215: 就台麥便宜行事賭你不會被盜，若被盜是你家的事頂多協助 04/22 20:47

→ jay0215: 警方提供必要資訊，有儲值的自己要多加留意04/22 20:48

推 ARCHER2234: 原來如此，扯04/22 21:56

→ diabolica: ==04/22 21:57

推 magnumcxz: 剛跟朋友借帳號登入，真的跟原po說的一樣，登入時自動04/22 22:56

→ magnumcxz: 選開啟生物辨識，然後要支付時刷自己手機的生物辨識就 04/22 22:57

→ magnumcxz: 可以打開別人帳號的儲值金支付畫面 04/22 22:58

→ magnumcxz: 這坑太大了!以後儲值要小額小額了04/22 23:00

推 EPIRB406: 換手機登入要驗證碼 04/23 00:19

推 EPIRB406: 說錯，不用驗證碼，需要重新登入 04/23 00:21

推 batis: 喔喔喔 我看懂了 這樣確實不安全 04/23 01:26

推 jennie123: 這樣分享出來感覺麥當勞app有很大的漏洞耶@@ 04/23 01:48

→ jennie123: 分析* 04/23 01:48

推 keizeo: 這一點的確是可以改進 但網銀好像也都這樣？ 04/23 06:32

推 inSec: 樓上 網銀只要重新安裝 都會要求重新登入才能啟用生物辨識 04/23 07:11

→ longlydreami: 大多數網銀還要綁定設備 不會因為登入密碼被盜就能 04/23 07:17

→ longlydreami: 非約定轉帳 04/23 07:17

推 goodman: 常常切帳號的人都知道啊= = 04/23 10:20

→ goodman: 每次切完就問我要不要開生物辨識 選要的話也不會再做驗證 04/23 10:21

推 mnxzq: 網銀都要簡訊驗證啦 不然早就被金管會幹翻 04/23 11:01

推 sfwejfish: 笑死 之前檔自動簽檔的很勤快結果大包在上面那麼久 04/23 13:18

推 DaKyu: 這爛app還有個問題就是，若登入手機不小心打錯，如果是沒註 04/24 00:29

→ DaKyu: 冊過的門號，會直接顯示已傳送驗證碼要輸入的頁面，正常不 04/24 00:29

→ DaKyu: 是應該顯示此號碼未註冊詢問是否註冊嗎=_= 04/24 00:29

噓 willieqoo: 呃妳指紋辨識難道都開給家人用嗎，有啥問題 04/24 12:44

→ sfwejfish: 樓上不懂，我拿到你的帳密用我的手機登入，並啟用我的 04/24 13:39

→ sfwejfish: 指紋，就能在不知你的支付密碼的情況下用我的指紋支付 04/24 13:40

→ sfwejfish: 要馬就是兩個指紋分開紀錄開啟狀態 要碼新裝置第一次 04/24 13:41

→ sfwejfish: 一定要輸入過一次支付密碼才能指紋 04/24 13:41

推 magnumcxz: 問題是用我的指紋就可以開啟你的支付條碼用你的錢付款 04/24 17:56

推 mike0608: 一堆人還看不懂哪裡有問題…還在那邊辯護 04/24 19:10