เพิ่งเจอช่องโหว่กับตัวเองมาสดๆร้อนๆเลย ขอเริ่มเลยละกัน
เมื่อวานได้จองตั๋วเครื่องบินกับสายการบิน Emirates ซึ่งก็ไม่มีอะไรผิดปกติ ..
จนกระทั่งถึงขั้นตอนชำระเงิน ก็จ่ายเงินผ่านบัตรดิตของธนาคารไทยพาณิชย์ (SCB) แบบ Visa ซึ่งก็กรอกข้อมูลเหมือนเว็บอื่นทั่วๆไป เลขที่บัตร ชื่อ นามสกุล วันหมดอายุ เลข ccv
หลังจากนั้นก็เข้าสู่หน้าจอ Request OTP ซึ่งมีโลโก Visa กับ SCB หลังจากกดขอรหัสผ่านไป .. ผ่านไป 20 วิ ยังไม่ได้รับ SMS
กด Request ซ้ำอีกที .. ก็ยังไม่ได้รับ SMS…. กดซ้ำอีกที จนปุ่มแม่ง disbale ไปล่ะ .. ก็ยังไม่ได้ SMS
ถึงจุดนี้ก็โทรหา Call center SCB ล่ะ ว่าทำไมไม่ได้ SMS … จนท.ก็ตรวจสอบนู่นนี่
บอกว่าระบบส่ง OTP ออกมาแล้ว 3 ครั้ง เค้าทำอะไรให้ไม่ได้ อาจจะเป็นที่เครือข่ายโทรศัพท์ (ถึงจุดนี้บางคนอาจจะโดนให้ช่วยลองส่ง sms ล่ะ) .. เบอร์ที่ใช้อยู่เป็น AIS .. (คือแม่งมีหลาย Party มาก ไม่รู้จะเริ่มด่าใครดี) แต่หลังจากลองๆ SMS ก็ยังทำงานได้ปกติ รับเข้าส่งออกได้
นั่นมันเพียงแค่จุดเริ่มต้นเท่านั้น คือพอไม่ได้ SMS ก็ทำอะไรต่อไม่ได้ เลยกด Cancel ออกมา .. หน้าจอของ Emirates ก็ขึ้นว่า error อะไรซักอย่าง จำไม่ได้ ซึ่งก็คาดเดาได้ เพราะทำรายการไม่สำเร็จ
หลังจากนั้นก็เริ่มจองตั๋วใหม่ … พอจองๆไปได้ครึ่งทางก็มี SMS เข้ามา .. ตอนแรกก็เดาว่าเป็น OTP ที่มาช้า
แต่ไม่ใช่มันเป็น SMS ที่บอกว่า Transaction สำเร็จ (วงเงินหายไปเท่าราคาตั๋ว)
เจอ SMS นี่เข้าไปก็ชอค !!! โทรหา Call center อีกที … จนท.ก็โอเคนะขอทำ 3 สายกับทาง Emirates .. ผลปรากฏว่า Emirates ยืนยันว่ารายการสำเร็จ ชำระเงินเรียบร้อย …. แต่ว่า เฮ่ย … กรูไม่ได้กรอก OTP นะ .. แถมกด Cancel ด้วยซ้ำ ทำไมมันสำเร็จวะ ???
หลังตรวจสอบว่าได้ตั๋วแล้วจริงๆก็กลับมาถามจนท. SCB อีกทีว่าทำไมไม่กรอก OTP แล้วรายการยังสำเร็จ ?
คำตอบที่ได้จากจนท.คือ “มันแล้วแต่เว็บไซต์ว่าจะดู OTP หรือไม่ บางเว็บไซต์อาจจะดูแค่ว่า CCV ถูกต้องก็ให้ทำรายการแล้ว”
คือแบบ … จากที่เคยคิดว่า OTP (ที่แลกมาด้วยความยุ่งยาก) จะปลอดภัยขึ้น ซึ่งในความเป็นจริงมันไม่ได้เป็นแบบนั้นเลย … แสรสส
สุดท้ายนี้ก็ดูแลเลข ccv หลังบัตรให้ดีๆกันครับพี่น้อง 😉
October 23, 2014
RT @iKaew: [Blog] OTP ของบัตรเครดิตปลอดภัยจริงหรือ ? http://t.co/AszsMgMDqV
October 23, 2014
RT @iKaew: [Blog] OTP ของบัตรเครดิตปลอดภัยจริงหรือ ? http://t.co/AszsMgMDqV