「實名認證驚天漏洞」背後,支付寶搞錯了什麼?

2020-12-19 雷鋒網

本周四,有支付寶用戶突然發現自己的支付寶帳號突然多了五個綁定帳號,而這些帳號都沒有經過他本人的認證(事件原文連結)。

換句話說,他是在完全不知情的情況下,其支付寶帳戶下就多了5個綁定帳戶,而他本人也沒有收到任何形式的通知消息,包括簡訊、郵件、或者登錄後的站內信息。

這位用戶的曬圖如下:

用戶在電話諮詢支付寶客服後發現解綁較為困難,多次溝通無效後,該用戶將整個過程發布到網上,隨後支付寶針對此次事件作出了澄清。不少用戶對支付寶的澄清表示不滿,引起了人們的廣泛關注。

而實名認證的帳戶之所以讓用戶如此擔心的原因還有一個,就是貸款也是在實名信息名下的,那麼攻擊者可以用這些帳戶來貸款借錢?是否也意味著,別人可以輕易借殼於你的身份來貸款,而最終卻由你來還錢?


(雷鋒網(公眾號:雷鋒網)註:支付寶隨後在官方的聲明中回應,關聯的陌生帳號不能以用戶的名義獲得貸款。

附回應連結。

此次事件的真相和具體技術細節,其實阿里的各位同仁,特別是支付寶的安全團隊,會更加清楚,我過去和他們有過一些溝通,他們在技術上頗有自己的獨到之處。面向數億普通用戶的金融產品,如何平衡易用性和安全性,如何做好風險監管,相信他們會更有發言權。

但本次事件究竟是如何從一個孤立事件變成了現在的軒然大波,整個處理過程之中有沒有值得改進的地方?我想從風險管理的角度談談自己的看法。

我們知道阿里巴巴是一家科技公司,但是支付寶,則是一家網際網路金融公司,雖然使用了大量的IT技術,卻不能改變它是一家以支付、借貸、投資管理、信用管理等業務為核心的現代金融公司,IT技術只是承載金融業務的工具和平臺。本次事件,是否有支付寶的某些部門對這個定位認識不清,從而造成現在後果的可能性呢?

請先讓我們來回顧下歷史,因為歷史總是驚人的相似。

大概在10多年前,傳統的金融行業經歷了與今天支付寶事件類似的情況:不少金融從業人員利用職務之便,使用第三方人員的身份信息,大量申請辦理信用卡,輕則套取新辦卡每張數十到上百元的補貼,重則進行惡意透支套現,給銀行帶來了重大損失,而信息被盜取者也遇到了不少麻煩。

之所以會出現這種情況,是因為當時信用卡業務的發展尚處於野蠻生長期,各家銀行均把圈地發展用戶數作為了首要目標,一時之間卡片漫天,甚至出現過一個普通的工薪收入者手上有五六張不同信用卡的情況。

為了給發展用戶提供便利,很多銀行都降低了申請門檻,可以沒有良好的信用記錄、可以不需要本人在場、可以不考慮還款能力等等,為後來的各種信用卡違規犯罪開啟了方便之門。

而這與如今網際網路金融強勢崛起的情況何其相似:

由於網際網路金融的崛起,各家公司為了擴大用戶數,提高交易金額,紛紛降低門檻,申請過程更容易、使用更容易,註銷更困難、解綁更困難,一切都是為了快速擴張服務。

就本次事件來看,支付寶,或者說至少是支付寶的某個歷史版本,存在著用戶身份驗證不完全即可綁定帳號的潛在風險。這也許是為了提高產品使用體驗而作出的妥協,或者是某個歷史版本的安全漏洞。用戶方也必然存在某種疏忽(比如個人信息洩漏,或者帳號密碼/郵箱洩漏)才有可能導致這個結果。

作為一家技術公司,當然可以說產品不可能沒有安全漏洞,而且也可以清晰地通過找到用戶方的責任來對後果進行免責。但是作為一家金融公司,特別是創新型的金融公司,首先要考慮的則是用戶的安全體驗對新業務推廣的正面和負面作用。

新業務的推廣需要改變用戶的使用習慣,並且克服用戶對新技術的恐懼,而信息安全問題恰好是其中會起到關鍵作用的一個點,不解決用戶對信息安全的擔憂,新業務就很難大規模的推廣。上個世紀美國的銀行為了推廣信用卡所採取的各種安全保障措施就是一個很好的例子。

而在用戶投訴階段,客服人員是否清楚現有產品和歷史產品的安全問題?是否能夠通過有效的溝通安撫用戶的情緒,並且及時地協助用戶解決問題?

網際網路金融的優勢是採用網際網路技術能夠同時地服務海量的用戶,但是在風險管理和用戶體驗管理上,僅憑自動化的機器,有時是不能滿足用戶需求的。如果用戶的滿意度下降,前期辛辛苦苦發展來的用戶群就會逐漸流失。

而網際網路的特性又使得負面情緒和事件會被無限放大,從而引入了商譽風險,一旦危機公關措施不當,商譽風險的損失將遠超過技術風險。

本次事件中,支付寶的危機公關團隊雖然響應及時,但是卻未能有效地安撫用戶的情緒,也未能消除用戶對安全問題的疑慮,反而留下了撇清推卸責任的印象,整個溝通過程和方法是否過於以自我為中心?並未能考慮到用戶的體驗和心理接受程度?這些都是值得我們深思和引以為鑑的。

從監管角度來說,監管措施往往是落後於金融業務創新的。

新興的網際網路金融恰好處於金融監管的灰色地帶,現有的監管措施並不能有效地防範網際網路金融的風險,這方面對監管機構儘快拿出新的風控措施提出了挑戰。同時也更加要求行業龍頭擔負起責任,為整個產業的健康有序發展作出更大的貢獻。

從個人角度來說,應注意以下幾點:

1、使用網際網路金融產品時要對可能面臨的信息安全風險有著充分的認識,對自己的風險承擔能力也有著足夠的了解。


2、應該要保護好自己的個人隱私,使用手機拍攝證件時要注意關閉雲備份,使用完要及時刪除,也不要隨便將證件照上傳到不可信的網站。


3、儘可能使用複雜密碼,定期更換密碼,使用雙重認證(例如USB KEY)。


4、儘可能使用專用設備進行金融操作,而不是與平時上網或者遊戲的設備混用,特別儘量不要把密保手機用來直接進行交易。用來進行金融操作的手機不要安裝非官方的應用。


5、遇到安全問題之後不要恐慌,及時有效地與官方溝通,創新業務的一個好處就是為了確保業務的順利推廣,前期廠商往往會對用戶的風險進行兜底,所以良好有效的溝通後,實際損失並不會太嚴重。如果金額巨大,可以及時取證公證、並向監管機構或者消費者協會和媒體進行投訴。

總的來說,其實支付寶本身安全性挺高,只是在其功能設計上暴露出了一些問題,不過後續的措施又防止了損失,所以主要還是在於用戶的使用環境。當然,此次用戶個人信息被盜,而支付寶沒有拒絕用被盜信息註冊的多個帳戶,目前雖然並不會產生嚴重後果,但是金融的風險監管問題不容忽視。希望本文能夠引起對金融產品安全問題的注意。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

相關焦點

  • 支付寶實名認證怎麼取消 子帳戶關聯解綁方法
    支付寶實名認證漏洞 實名認證取消帳戶關聯解綁方法。今日微博上@F9y4ng的博主發布了一篇長微博,揭露了支付寶實名認證的漏洞——無緣無故多了5個子帳戶!下面小編為大家帶來微博原文以及支付寶實名認證取消、帳戶關聯解綁方法。
  • 身份證改名後,支付寶實名認證信息怎麼辦?在手機支付寶上更換
    現在支付寶帳號都是要進行實名認證後才能使用支付寶各項功能,實名認證對於支付寶帳號安全性是非常重要的。不過最近有個朋友跟小編反饋,自己身份證姓名在公安局修改更換了,但支付寶裡的實名認證信息還是舊的,不知道如何改過來?
  • 今後支付寶、微信、手機必須實名認證 否則後果很嚴重
    2、支付寶、微信實名制   近日有消息稱,螞蟻金服宣布,自今年7月1日起,沒有綁定中國大陸銀行卡的用戶將不能在支付寶帳戶中存錢,也不能使用帳戶中的餘額。支付寶客服人員表示,7月1日起未實名認證的支付寶帳戶不會遭到凍結,但是用戶使用餘額支付時將會受到一定額度的限制。
  • 12306官方支付寶小程序上線 可用支付寶實名認證
    (原標題:12306官方支付寶小程序正式上線)
  • 武漢通支付寶小程序「更名「,實名認證常見操作疑問有了「解答
    支付寶上為何找不到武漢通小程序?3月20日,武漢通官方微信告知正在實名認證的持卡族,由於支付寶小程序名稱不得過於寬泛、應帶功能性描述要求,該小程序已更名為「武漢通實名登記」,可在支付寶小程序中搜索到,之前演示的界面有所變化。
  • 12306官方小程序在支付寶上線 通過支付寶實名認證即可登錄
    站長之家(ChinaZ.com) 7月1日 消息:今日, 12306 官方支付寶小程序已正式上線。據了解,這是 12306 繼官網及App外的首個站外官方服務渠道。
  • 支付寶微信帳戶不實名認證 明天起搶紅包收紅包都麻煩
    原標題:支付寶微信帳戶不實名認證 明天起搶紅包收紅包都麻煩重慶晚報訊 7月1日,是央行關於網絡支付實名認證新規開始執行的日子。昨日,重慶晚報記者記者向支付寶和微信了解到的最新信息是,下月起,支付寶和微信還沒實名的用戶,帳戶或資金不會凍結,但搶紅包和收紅包不會像以前一樣順利了。
  • 海外購物把退稅裝進支付寶 須完成實名認證
    原標題:海外購物把退稅裝進支付寶 須完成實名認證 7月14日,支付寶與全球最大的退稅機構之一環球藍聯宣布達成戰略合作,聯合推廣支付寶海外退稅服務。即日起,消費者在歐洲等地購物消費,可以用支付寶辦理退稅,退稅金額最快10個工作日到帳。
  • 實名認證仍存漏洞 部分遊戲涉嫌違規
    網遊實名認證在執行中存漏洞事實上,對於青少年遊戲沉迷問題,有關部門早有要求。2019年11月開始施行的國家新聞出版署《關於防止未成年人沉迷網路遊戲的通知》(以下簡稱《通知》)要求,實行網路遊戲用戶帳號實名註冊制度,所有網路遊戲用戶均須使用有效身份信息方可進行遊戲帳號註冊。但現實中往往防不勝防。
  • 臺灣/外籍/港澳用戶申請支付寶實名認證需要提供哪些資料
    臺灣/外籍/港澳用戶申請支付寶實名認證需要提供哪些資料臺灣/外籍/港澳用戶申請支付寶實名認證需要提供以下資料:  臺灣用戶可提供:臺胞證+入境證明
  • 微信支付和支付寶7月起須實名認證 身份驗證需要注意哪些問題
    習慣用支付寶和微信支付的同學們注意了,如果你們的支付寶和微信支付現在還沒有實名制的話,接下來有可能會無法順利進行轉帳、發紅包等日常交易行為。5月26日最新消息,微信支付團隊昨天正式發表聲明稱微信用戶必須在7月前完成實名認證,否則會被禁止餘額轉帳、微信收錢、搶紅包、發紅包等功能。
  • 王者榮耀實名認證官網地址是什麼 王者榮耀實名認證官網入口
    王者榮耀實名認證官網地址是什麼呢?今天小編給大家帶來的是王者榮耀實名認證官網入口哦!感興趣的小夥伴就和小編一起來看看吧! 一、王者榮耀實名認證怎麼修改?
  • 武漢推出實名乘公交,武漢通卡在線進行實名認證
    長江日報-長江網訊(記者龔萍 通訊員湯琦)18日起,市民手中的武漢通將可以在線進行實名認證。武漢通公司方面稱,為保障公共安全,提供便捷的可溯源乘車服務,推出實名刷卡乘車方案。希望市民積極完成認證,以免影響後續正常公交出行。在線實名認證的方式有四種:武漢通官方APP、武漢通官方微信公眾號「我的武漢通」、支付寶、微信小程序「我的武漢通」,均可以填報個人信息,進行卡片的實名認證。完成卡片驗證後,後續方可使用武漢通乘坐公共運輸。每個用戶最多可綁定5張武漢通,武漢通老年卡、殘盲卡、中小學生卡已實名認證,可直接使用。
  • 騰訊試點16+防沉迷 加快推進實名認證深化「人臉識別」
    北京青年報記者從近日舉行的2020中國國際數碼互動娛樂展覽會上獲悉,為防止青少年沉迷網路遊戲,我國正在加快推進網路遊戲實名認證系統建設,初步計劃於9月前上線。馮士新說,我國正在加快推進國家層面實名認證系統建設,初步計劃9月前上線,屆時將組織企業分批接入。8月4日,北青報記者向多家遊戲公司詢問是否接到實名認證系統的測試工作,對方表示暫未收到測試邀請。資深遊戲策劃師許小亮告訴北青報記者:「遊戲公司一直將青少年反沉迷和實名認證作為遊戲廠牌立足之本,不斷升級、優化自身系統。
  • 非銀支付帳戶實名認證本月實施 微信支付為何不實名還能用?
    雖然有部分公眾對實名認證的繁瑣感到麻煩,但相關專家指出,對用戶來說,過分強調便捷,就容易犧牲安全,發生「轉帳太輕鬆,後悔也晚了」而造成損失。  央行去年發布的《非銀行支付機構網絡支付業務管理辦法》已於7月1日正式實施,按照規定,支付寶、微信等支付機構應該對客戶進行實名制管理、對帳戶實行分類管理。實名認證等級不夠的帳戶,用餘額進行支付和理財都會大大受限。
  • 支付寶認證信息遭"搶"用 身份盜用風險目前無法破解
    餘額寶、理財通的手機理財,支付寶、微信的網絡支付,便捷背後風險層出。市民劉女士日前就遭遇了麻煩——無法給自己的支付寶帳戶進行實名制認證。她驚訝地發現,自己的身份證信息已經被他人在支付寶上註冊了帳戶。
  • 部落衝突實名認證在哪 部落衝突實名認證攻略
    而不少玩家在進行遊戲的時候會看到需要進行實名認證,但又不知道部落衝突實名... 部落衝突,也是玩家口中的COC,是一款經典的塔防類策略手遊,玩家為了保護自己的村莊,需要建造訓練營、城牆、兵營等,壯大自身實力。
  • 網上買賣支付寶號10元一個:實名認證成空談
    微博認證加V,淘寶實名開店,社交帳號實名制,這些原本為了增強虛擬網絡安全性的各種實名制和認證,近來卻不那麼值得信任了。北京晨報記者調查發現,網上有商家出售各種認證實名帳號,甚至可以提供「個性化服務」,出售指定認證所需的資料。對此,微博等平臺皆表示,若遇到此類情況,可以向客服人員反映,一經查實,不實帳號將被封號。
  • 支付寶微信7月前不認證支付將受限 升級為三類帳戶需五種認證
    支付寶近期正在陸續通過簡訊、支付寶App消息提醒、操作頁面提示等方式幫助、引導身份信息不夠完整的用戶來補全和完善個人身份信息,完成帳戶升級。早在4月,騰訊旗下的微信支付、QQ錢包的產品幫助中,均已發布邀請用戶實名認證的相關公告,提醒用戶對實名認證進行操作。
  • 「您的微信需實名認證」,收到這樣的簡訊你要小心了
    「根據規定您的微信需實名認證,12小時未認證將停用所有功能,為避免給您帶來不便,請登錄......」如果收到這樣的簡訊你要小心了。3月11日下午,家住四川省成都市的葉先生就遇到了這樣的簡訊,並將提醒信息分享在了朋友圈。