过去没注意,今天无意间发现银行在支付宝快捷支付授权流程中存在很大的风险隐患漏洞。 相关信息我已经反馈给交通银行、招商银行的网上客服,希望能引起重视。因为这个风险漏洞的法律责任会在银行方面!虽然交通银行的网上客服表示: ---------------------- 客服[19059] 20:00:07 感谢您的耐心等待,支付宝快捷支付的开通在支付宝端口进行办理的,相关开通验证方式属于支付宝规则,烦请您联系支付宝客服核实。 ---------------------- 那是因为网上客服不了解那个漏洞对银行方面的会产生的法律责任,不过我和网上客服强调了希望他能将情况反馈给相关部门(或领导),希望他们能认真考虑这个授权流程中的安全风险漏洞! 其它各银行估计在支付宝快捷支付授权流程方面会存在完全类似的安全风险漏洞和法律责任隐患! 支付宝方面其实可以无所谓,因为如果出问题,客户会找银行方面,因为是银行方面在授权过程中有安全缺失,责任会打在银行方面! 因为涉及到安全问题,具体情况现阶段不方面详细介绍!
感谢wj2000对公众利益的热心! 按惯例细节情况是不可以公开说的。希望你能找到更直接的渠道反映问题。 你的帖子倒是让我想到银行应该设立一个奖金,用于奖励发现漏洞的人。不但可以鼓励做好事的人,还可以减少一些双输事件的发生。比如:有人发现ATM机取钱会多给100块。只要及时报告给银行可以获奖1000块。又减少经济损失,又不会破坏银行形象,还能减少”犯罪“。 你发现了问题,你会去报告。但其他人发现就不一定了,如果有一个奖励机制,就能让至少一部分人觉得与其去犯罪不如光明正大拿奖金。
http://www.wooyun.org/bugs/wooyun-2010-015569 中国建设银行刷人民币漏洞 具体问题发生在 http://buy.ccb.com 建行善融商务个人商城 这个商场举办了一个"捉虫活动" 说是找到bug能给电子卷.我就来找找. 问题在 1.jpg 积分兑换的地方. 这一步正常操作. 2.jpg 这一步我们选择一个可以兑换的起的充值卡.我这选择兑换50元的. 3.jpg 在这一步提交的时候.把数据包截断,有个参数是EXCHGAMT=25000 把这个值改成EXCHGAMT=-25000 负数.然后提交.得到如下图 4.jpg 完工. 信用卡积分涨了25000分.还得到了一张50元的兑换卷.买啥都可以... 建设银行这样的大银行不应该出现这样的错误.建议以后你们这类"捉虫活动"直接提交到乌云众测平台.让乌云的白帽子们帮你们做个详细的测试吧.
http://iswg.cn/Project3.html 漏洞披露与处理公约 http://security.tencent.com/index.php/report 报告漏洞 http://110.taobao.com/home/index.htm
几个方面都没有反馈和对“漏洞”进行更改。在中国人民银行站点上找到的网上信箱发的邮件被退回(是不是地址错误)? Your message Subject: 快捷支付授权的安全问题! was not delivered to: webbox@pbc.gov.cn because: Error delivering to 信访邮箱/办公厅/PBC; Router: Database disk quota exceeded 好像都是事不关己高高挂起的态度! 从邮件退回的信息看是空间满了?!都是“假”的!
http://www.hylt.net/vb/showthread.php?p=359263#post359263 银行卡频现盗刷 多市民卡被“掏空” 受害者不少啊,但好像银行和第3方方面还是没采取措施!支付宝平台还是没有答复,招行、交行客服估计也没有上报反馈的信息。银监会和人民银行也只有电话联系方法,网络联系好像都不成功,而我又不愿意电话反馈。
很多年前,访问建设银行网站,杀毒软件警报,显示建设银行的网银工具有病毒,打建行客服电话善意提醒,其一口认定是我的杀毒软件有问题。几个月后无意看到建行Ukey客户网银被盗的新闻,数额不小,忘了是几十万还是上百万。再跑去建行网站看看,杀毒软件没再警报。。。
百度“银行 客服 外包”…… 固定工资3000多,没有转正机会,所以就有人干这个: http://finance.sina.com.cn/china/20120819/091012889420.shtml 银行客服外包营销成泄密区 1个月卖千份客户资料 还指望他们帮你反映问题? 其实国内大企业一般都上了舆情监测系统,盯这个的人应该都是正式员工。所以直接骂他们是最有效的。