今早數位綁定大塞車,有網友在PTT八卦板回文分享,在等郵局OTP認證碼的可用電腦直接按下F12檢視原始碼,在Network分頁中找到sendSMS,就可看到JSON text格式資料,其中recPhoneCode顯示的參數就是驗證碼。檢視原始碼就可以不必等簡訊通知,讓原PO忍不住開嘲諷「他OTP是在心酸的嗎?」
原PO的發現也造福許多綁定卡關的民眾,紛紛跟進完成綁定搶到加碼優惠,「原來驗證碼不用等他寄,太貼心了吧」、「剛綁定網頁卡住 隨手開F12也有發現這個」、「進去等一分鐘開f12再重寄就有了,感謝大神」、「好扯,我也成功了」。
也有網友質疑對認證碼保護不足,批評「資安0分,可以跟金管會檢舉嗎?」、「嚴重資安漏洞,看業力怎麼引爆」、「明碼傳送,白箱沒掃」、「OTP的也能這樣搞不是很危險嗎?」、「笑死,這垃圾系統可以拆掉了」。
發現漏洞的原PO則是回應,「個人覺得資安來說是...還好拉,需要知道郵局設定的手機、存簿、身份證,認證當事人來說應該足夠了。當然有OTP才能更有效地防止別人亂綁,但這個實作的邏輯...(令人無言)」。
