http://paynews.net/portal.php?mod=view&aid=25660#comment 【风险案例】快捷支付曝巨大漏洞 惹用户与各银行众怒 2014-5-13 05:14|来自: 中国金融网综合 摘要: 交行方面解释称,李先生当日是在ATM机上自助更改的联系方式,且操作记录显示,更改的仅仅是“短信通知”的联系方式而非其他验证。但不少银行内部人士却对记者透露,即便更改了预留手机号,用户的储蓄卡账户绑定快捷 ... 当你的银行卡忽然在不知情的某天被绑上了别人的快捷支付,且未经自己银行卡支付密码的验证便被刷走卡内所有现金,这种惊心动魄的切身体验是否还会让你继续一往无前地依赖那种“方便”与“快捷”? 近日,托人代办信用卡的李先生(化名)由于将银行预留手机号码、身份证与储蓄卡的高清照片都泄露给了骗子,尽管存款当天便惊醒回神,迅速去银行柜面关闭网银并更改预留联系方式,但仍未能避免三日后卡内现金被悉数盗刷而空的命运。 对此交通银行(行情,问诊)方面对记者官方回应称,本次事件是由于用户泄露自己的个人信息导致,交行方面将尽快与支付宝方面做沟通。支付宝方面也表示,将去核对该用户的账户信息,确认其具体是否符合其赔付规则再做处理。 “用户的账户一旦绑定了快捷支付,账户验证和支付的流程就进入了支付宝的后台系统了,银行无法全面查询与掌握。”某国有大行内部人士对记者表示。 记者就此走访多家银行,得到的回应不约而同地为“交行确实不算推卸责任”,各大银行均对记者表示,快捷支付的风险并非今日才浮出水面,也并非最近才引起银行的重视。据记者获悉,以民生和交行为代表的数家商业银行早已向监管部门提交了关于与快捷支付合作的风险报备,但出于鼓励创新及互联网金融的角度,银行们得到的指示为“把控风险,风险自负”。 “越过密码的资金蒸发” 4月4日,由于工作单位问题限制导致办信用卡困难重重的李先生主动找到声称可以代办信用卡的张某(化名),并在张某的要求下当天便在交通银行广州分行的大石支行开通一张新储蓄卡,“这一点确实是我的过错在先,”李先生说,“张某要求我在开户时登记的是他的电话号码,并且让我把卡和身份证都拍了照片发给他,我便轻信并照做了。” 李先生对记者表示,资料发去之后,张某又以交行办信用卡要“考核财力”为由要求其往卡内存入2万元现金。“那时我已心生警惕,所以4月8日存入现金后当天下午,我就去了开户支行柜台办理更改联系电话业务,并关闭了网上银行和电子银行业务,但没想到4月13日晚上11点收到短信,钱还是被转出了。” 调查记录显示,李先生的卡被绑定了快捷支付,卡里的款项正是通过快捷支付的方式支出。但李先生表示不解:明明已经关闭了网银和电子银行业务,为何钱款依然能被快捷支付扣走? 支付宝方面对记者解释,网银与快捷支付是毫不相干的两项业务,用户在使用快捷支付时并不需要开通网上银行业务,是否关闭网银与是否能成功使用快捷支付并不构成任何关联影响。 但相对而言更让李先生气愤的是,此番快捷支付扣除他的款项,竟无需经过他银行卡支付密码的验证。 记者调查获悉,开通快捷支付业务并不繁琐,只需在支付宝快捷支付页面提供本人的姓名、身份证号码、银行卡号以及银行预留手机号等有效个人信息,即可快速开通,而后期支付时也无需经过原有银行卡的支付密码验证,只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。 “这是非常典型的轻信了对方从而泄露自己个人信息结果被诈骗的案例。对方已经掌握了名字,手机号,身份证号,包括你办过那张储蓄卡所有卡面信息,完全可以拿你的身份在网上再注册一个网络账号,通过快捷支付的方式绑定银行卡,所有的密码可以自行设置,而且校验手机号也是他的,这样你卡里的钱当然就只能由他来支配了。”支付宝方面某负责人对记者表示,该案例并非首发,支付宝此前便已收到过类似案件的投诉,因而“非常了解作案流程”。 而对于为何支付转账等走款流程要越过银行卡支付密码的环节,支付宝方面则对记者表示:“这是国际上的规定和惯例,不允许在网上支付的时候输入银行卡密码。” 银行与支付宝并非“无缝对接” 如果网银与快捷支付不相干,银行卡密码与快捷支付也不相干,那么为何开通快捷支付需要的银行办卡的预留手机号呢?李先生向记者表达了自己的疑惑,自己明明已经提前去银行更改了预留手机号,为何最后却还是被绑上了别人的快捷支付,更改之后的号码只是收到了一条“2万元被转出”的事后通知? 交行方面解释称,李先生当日是在ATM机上自助更改的联系方式,且操作记录显示,更改的仅仅是“短信通知”的联系方式而非其他验证。但不少银行内部人士却对记者透露,即便更改了预留手机号,用户的储蓄卡账户绑定快捷支付后整个验证流程都对应在支付宝的系统,银行也无法查到快捷支付方面的联系方式验证是否会自动与银行同步。 “用户的储蓄卡账户一旦绑定了快捷支付,整个验证的流程都对应在支付宝的系统里,所以我们银行也没法确定,绑定后若只在银行柜台进行验证手机联系方式的更换、而不在快捷支付页面进行手动更新,控制用户快捷支付走款流程的验证号码,究竟是新的还是旧的。”前述国有某大行内部人士对记者如是表示。 “如果不能自动匹配更新,假如我不知道别人拿我的号码绑定了快捷支付,我根本不可能自己去快捷支付的页面手动更改;或者即便我知道被别人绑定了,我也没办法知道别人设定的登录密码,同样无法手动更改。这样验证走款依然在旧的号码,我还能自主掌控自己的储蓄资金么?”一位刚刚关闭了快捷支付的用户如此质疑。 记者多次就此问题咨询支付宝相关负责人,但截至发稿未曾收到对此问题的任何回应。 无独有偶,此前曾试图开通快捷支付的孟小姐(化名)对记者反映称,某天其手机突然收到来自招商银行(行情,问诊)[1.21% 资金 研报]一条内容为“账户通过快捷支付转出0.1元”的提示短信,心生警惕的孟小姐旋即前往招商银行柜面查询,柜员调取记录告知称该0.1元为快捷支付方式转账,但也仅限于能查到转账方式是快捷支付,而更多的信息,柜员表示银行无法查看。 “此前在支付宝页面开通快捷支付显示开通失败,我便没有再继续开通,结果毫无防备就被快捷支付的方式转走卡里的钱,我不知道这是怎么做到的,连银行都查不到,我觉得心惊胆战。”孟小姐对记者如是说。 “银行和支付宝并非是无缝对接的,”某银行界业内人士对记者表示,“一旦用户的账户绑定了快捷支付,很多方面都是银行无法控制的。” 中国人民银行高级工程师吴晓光对此曾公开表示:“快捷支付业务模式里,银行的服务界面被屏蔽在客户的支付流程之外,银行从用户支付结算的前台,退到了代理第三方清算的后台,只扮演‘账房先生’的角色,被动地处理来自支付机构的指令,不再认证用户的身份,不再掌握用户的支付行为。” 让银行“愤怒又无奈”的“最安全支付” 银行无法控制,那支付宝控制的系统安全性能又当如何? “美国paypal的风险率是千分之几,国内的风险率比国外低,而快捷支付的风险率是十万分之一,比国内外所有同行都要低。”支付宝方面信心满满地告知记者。 “虽然没有银行卡密码,但支付宝会在别的环节做好功课,比如短信校验码,若手机遗失被人试图重置密码,我们还会验证本人身份证信息和银行卡信息。”支付宝如是对记者表示。 一位接近央行的分析人士表示:“目前,以快捷支付为代表的第三方支付机构的客户实名认证为非面对面的间接身份认证,流程一般为‘客户基本信息+ 身份证件上传与审核+小额打款回填’,该认证流程与银行实施的客户柜台面签的实名认证流程相比,强度要弱得多。” 一位不愿透露姓名的用户向记者提供了一份访客与支付宝在线客服“云在线”的咨询记录,在记录中“云在线”对客户坦言,若身份证被人知晓便可以注册新账户,若银行卡与手机同时落入他人之手,便可以给新注册的账户开通快捷支付。当该客户质疑银行卡和身份证号并非隐私信息身边已有多人知晓当如何防范时,客服回应称“无法防止,建议保管好自己的手机”。 而当客户质疑此漏洞更易被身边熟悉之人趁虚利用时,客服却匪夷所思地反问了一句:“您身边的人都很坏吗?” “如此这般,用来规范与约束整个金融市场的,便不需要法律和规范了,全凭人的道德修养自律。”一位资深金融界人士对记者笑称。 支付宝方面对记者表示,李先生类似的案例,从快捷支付问世至今,他们“只接到了一两例”。 “前段时间银行与支付宝的纷争其实就在这里,”某国有行高层对记者表示,“快捷支付的安全漏洞被不法分子趁虚而入,发生了大量跟李先生此案类似的案例,而受害人为了最有效率地收到赔付成果,往往把银行一并告上被告席,因为银行不会不回应,并且会在客观上帮忙举证,而支付宝承诺的72小时赔付机制其实条件并不宽松。但长此以往,银行会承受不了如此的重压。所以只好选择调低交易额度上限,一旦风险发生,损失能在客观上尽量降到最低。” 另一位国有行内部人士则向记者表达了无奈:“其实银行挺委屈,明明是为了保障客户安全,舆论却被煽动得一边倒,我们反而被自己努力保护的人斥责说‘垄断’与‘打压’。现在支付过程中用户过多贪图了快捷方便,但实际上网上支付最重要的应该是安全,若有天‘被盗刷’的案件发生在自己身上,到时候再想起来重视可能就来不及了。”
其实央行和银行方面也有一定的责任的,因为快捷支付好像就是走的央行的超级网银通道,央行和银行方面应该出相应规则,允许客户在开户行端查询到自己开通了哪些快捷支付和资金归集,并且客户可以直接在开户行端自助取消相关业务而不象现在需要在第3方取消相关业务! 取消业务的操作麻烦性也是带来相应风险的一个原因!当然第3方来说(包括资金归集的归入方银行,第3方支付公司)因为资金是流入的,所以都会想办法来增加客户的麻烦来阻挠客户取消相关业务,但央行和银监会应该从客户的利益和安全出发方便客户取消相关业务的操作。
http://www.yixieshi.com/it/16367.html 银行的两难选择:该推出类余额宝理财产品吗?_互联网的一些事 http://www.yixieshi.com/it/16749.html P2P那些事儿:5分钟读懂中国式互联网金融本质_互联网的一些事 http://www.yixieshi.com/it/16914.html 余额宝的使命真的会在利率市场化后终止么?_互联网的一些事 四、支付宝在安全方面存在漏洞? 前几天,媒体上突然出现一系列针对支付宝,余额宝这不安全,那不安全的各类系统性传播,不管你如何辟谣,不管你如何证明你比传统银行安全十倍以上,并且保证有问题全额赔偿。 ——马云,2014春节微信红包“偷袭珍珠港”后 这个话题从支付宝推出就一直不绝于耳,有部分网站甚至央视都曝光过支付宝找回密码的漏洞,据某些安全从业人士表示,央视报道的这个逻辑漏洞确实存在过,但是很快就被修复了,而在漏洞爆出没多久就立刻被炒的沸沸扬扬,应该是有其他第三方支付在背后推动。除此之外,支付宝公开正式承认的技术漏洞也有几起,但是基本都快速修复了,从这方面来看,支付宝在安全方面的努力是值得肯定的。 但是,支付宝的安全体系并不是毫无问题。这个体系是建立在银行及电信运营商安全体系基础上的。目前所暴露出来的风险点大部分只是支付宝自身安全体系出现的风险,其与银行、电信运营商安全体系对接之间的问题也仅仅是初步显现。 首先,支付宝不可能对每个客户进行实际验证。支付宝没有实体网点,不可能做到“本人持证件输入密码”这一在银行及电信运营商安全体系内经常应用的验证方式。因此,支付宝的验证方式几乎都是由客户主动上传相应证据与银行方核对,核对相同则认为验证通过。换句话来说,支付宝默认银行安全级别是等于或者高于其自身的,更谈不上“安全十倍以上”,而这也与央行将第三方支付账户认定为弱实名账户相对应。 其次,支付宝用于验证的资料在银行及电信运营商安全体系内未必是关键安全信息。如上文所说,银行卡预留手机号对银行并非关键信息,通过验证一次短信验证码就确认为其开通长期免确认支付,这明显违反了安全体系中高安全级所对应的高权限才能为低安全级授权的基本原则。目前,部分银行已经被迫在新开户时对客户确认预留手机为本人使用,但这是支付宝对银行的风险绑架,而不是支付宝为其自身违反安全基本原则开脱的理由。 第三,支付宝的安全体系并未与电信运营商达成相关协议。手机号本身是电信运营商为其客户提供的通讯服务,并不作为安全手段使用,如果说非要运营商负责资金风险的话,那也是对客户的话费余额负责。但支付宝的安全体系在没有与电信运营商达成协议的情况下,使用手机号作为安全验证的方式,这使得手机号在运营商不知情的情况下,与银行卡内的资金产生了联系。由于一般情况下手机话费相对封闭,在强制手机实名之前运营商并没有很大动力对客户证件真伪进行验证,这使得支付宝整个安全体系的地基并不稳定。 支付宝其实很清楚他自身存在的这些问题,因此喊出了“你敢付我敢赔”的口号,并对接了保险公司。在实际执行中,在受害者报警并获得确认后一般都可获得赔偿,但是由于假被盗的事件较多,支付宝的判断一般较为小心,有不少未得到赔付的案例,有些得到赔付的案例也被劝说建议关闭渠道并被告知仅赔付这一次,实际得到赔付的时间也比较长。 而支付宝之所以在明知道存在问题的情况下,还继续维持下去,这是由于互联网公司的风险控制思路造成的。传统银行是风险厌恶型,在风险控制与安全便捷中宁可选择风险控制,这也造成了传统银行的电子渠道在开发早期极为难用,直到近几年经验丰富后才有所好转,但依然尚有不足之处。而互联网公司奉行的是收益覆盖风险原则,且将用户体验置于风险之上,在二者相冲突时,只要风险在可接受范围内,就会选择用户体验。两种不同的组织架构,不同的风险思路,才会造成双方完全不同的使用体验以及风险防控级别。在互联网公司大举进军金融的时代,双方必须互相学习,才能够创造出用户体验更好,安全级别更高的交易环境。