这个绑卡的短信是发给注册手机号还是发给银行预留手机号的?
如果是发给注册手机号,这个绑卡流程显然是有漏洞的,银行也要发短信验证码给预留手机号才可以绑卡的
如果是发给银行预留手机号,携程支付需要先跟银行确认预留手机号,然后再发短信给你,然而你没收到,这个绑卡短信莫非就是被伪终端收到了?然而其他短信你还是收到了的,因此可以合理怀疑携程的绑卡短信发给注册手机号了
很有可能,携程的绑卡和支付流程有漏洞,无论通过什么手段绑卡后,不需要任何短信验证码就完成了免密支付,如果触发了风控,风控发了验证码就可以拦截支付。
这个可以倒是可以解释电信、银联和携程短信的安全性。就是说,对方压根儿就不需要嗅探短信就可以完成流程。
另外,你12.29修改邮储限额未成功,不知道是不是被钓鱼了(比如点击伪基站冒充邮储银行发送的短信链接),从而泄漏了个人信息。
【 在 cinnabar (半夜中暑) 的大作中提到: 】
: 标 题: Re: 携程居然有两个假冒的通过银联实名的账户!验证码未告知被
: 发信站: 水木社区 (Wed Jan 13 15:13:51 2021), 站内
:
: 今天下午知道的信息又有变化。
:
: 邮储银行来电,称哪里绑的卡哪里就要发验证码短信。由于和携程说的绑卡要素不一致,又联系携程。与客服对质后,她实际操作了一下,知道了未实名账户绑卡的时候,携程确实会有一条短信验证码,“携程旅行网的验证码XXXX,正在添加XX银行卡,尾号xxx,请勿泄露验证码”,而我没有收到。
:
: 这就与我昨天认为的漏洞方不一样了,我昨天以为银联的在线支付开通验证码是绑卡用的(实际做什么的,银联还在调查),但 绑卡是携程发验证码,携程的验证码发给谁了?他们又去调查去了。
:
:
:
: 【 在 Lcsccc 的大作中提到: 】
: : 大致看了一下,貌似有几个问题比较重要:
: : 1. 绑卡和支付的时候,你也收到了银联短信,那么银联短信验证码是如何泄漏的
: : 2. 携程支付的实名认证和支付过程的风控是否有漏洞,比如没有面部识别,没有上传身份证照片,只接收短信不发送短信双向鉴权等等。你可以用这个理由和携程强力沟通
: : ...................
:
: --
:
: ※ 来源:·水木社区
http://www.newsmth.net·[FROM: 171.43.214.*]
--
修改:Lcsccc FROM 221.223.235.*
FROM 221.223.235.*