给大家曝光一个EzLink的auto-top漏洞
ysome • • 38405 次浏览我一直都在拿信用卡当EzLink用,感觉auto top-up非常方便。
前不久信用卡找不到了,马上打电话挂失,报停。
结果过几天又找到了,想着既然已经报停了,把EzLink里面的余额用光就算了。
结果等用到最后两块钱的时候它竟然又自己top-up了30块!明明信用卡已经报停了的!
打电话给信用卡公司,说旧卡号确实有30块钱的消费申请,但是因为已经报停了所以交易失败。
而EzLink里却千真万确地多出30块来。竟然不等信用卡交易成功就先把充进余额里了。
这么大的漏洞EzLink公司竟然没有防范,小心被骗子拿来恶意牟利。
-
#1
遇到过2次,EZlink会显示余额上bus刷不出。去过人工服务台咨询过才知道,后来我更改了绑定的信用卡。
又不巧,信用卡第二次丢了,现在都是去机器那边走nets充值 -
#2
这相当于一个offline交易。如果需要实时联网到信用卡系统去完成top up的话,那么进站就不会那么顺畅了,起码要等二十秒以上,也就是平时超市刷卡的那个速度,影响用户体验。
如果这个漏洞被人利用,那么也很容易解决。现在是余额低于一次mrt的钱才自动top up,可以改成余额低于5块钱的时候就自动top up。 -
ysome 楼主#3
确定刷的出去的,刷不了我反倒不奇怪了
-
ysome 楼主#4
就算改成低于5块才top-up也没用呀,EzLink反应没这么快。
每次充值多少是可以设的,打算恶意利用漏洞的话可以设成一次充100块,甚至更多。
top-up成功之后立马拿EzLink去麦当劳或者便利店花掉 -
#5
你以为充了就充了?时候信用卡交易失败,你的ezlink会被黑掉,然后让你去柜台还钱。
-
ysome 楼主#6
不但冲了,我还已经刷了好几次了。
就算过几天EzLink会冻结,但是在这之前足以把余额花光了 -
#7
这样你的名字会上黑名单,以后再申请giro有麻烦
-
#8
我碰到过几次了。
-
ysome 楼主#9
我从没拖欠欠银行一分钱,上什么黑名单?就算上了EzLink的黑名单又跟giro有什么关系?
不过我只是打算曝光一下这个漏洞,并不打算去恶意牟利。
已经打电话告诉EzLink了,不过他们也不怎么重视的,我的卡依然可以刷。 -
#10
不如你再试一次吧, 反正这么轻轻松松. 这次试一笔大的, 成功了又没麻烦, 就在这分享一下, 我们跟着弄 :)
-
ysome 楼主#11
我又没打算靠这个骗钱,就想看看EzLink啥时候冻结我的卡
也许他们财大气粗,根本不在乎这点钱,也不想堵这个漏洞。 -
#12
其实这也不是什么大事,用来牟利更是天方夜谭。试想一下某个人信用卡过期了销卡了,但是还在不停的花自动top up的ezilink,你以为ezilink搞不定你?
-
#13
那你曝光这 "漏洞" 目的是 想
(1) 提醒我们去 骗这个钱,
(2) 通知 那些 "骗子"这个新手法,
(3) 炫耀自己发现了个漏洞
(4) 还是提醒 官方 ? -
#14
lz 快去用ezlink买车买房 踏上人生巅峰
-
ysome 楼主#15
确实是炫耀吧。
其实也不是炫耀,就是发现这么个事不说出来就难受。 -
#16
我的意思是,现在ezilink的做法是一旦在进站刷卡的时候发现余额不足支付本次旅程,就自动给你top up,然后再去联系信用卡中心扣款。目的就是为了更顺畅的用户体验,不至于把用户给卡在闸机外。如果有人利用这个漏洞,那么ezilink完全可以在余额不多但是可以支付本次旅程的时候就先联系信用卡中心扣款,得到信用卡中心确认之后,再把钱加到ezilink里面。
-
ysome 楼主#17
我当然明白你的意思,但前提也要EzLink及时发现扣款失败,及时冻结EzLink,及时联系信用卡公司......一切都要及时。自动充值时为了体验顺畅当然不能傻等喜用卡公司的扣款结果,但之后在发现扣款失败时要及时把误充的钱扣掉或者冻结。这在技术上确实是做得到的,也不会影响用户体验。
而实际情况是EzLink并没有及时发现,及时处理。错误已经发生好几天了,卡都刷了n次了依然还可以用。
如果做不到及时发现及时处理的话,就算改成余额不足10块就top-up都没用。 -
#18
你并没有明白我说的意思。
我的意思是,以后ezilink可以先联系信用卡中心扣款,扣到了再加到ezilink卡里面。
再举一个例子,你用支票付款买东西,现在卖家不相信你了,需要先把支票入账,钱进了账户,才放东西给你。 -
#19
既然Ezlink链接了你的信用卡auto top up,就算你挂失了取消了照样能找到你