支付宝社交存盗刷隐患 移动支付安全问题不容忽视

2017-01-12 14:35:45   来源:当代商报   评论

  核心提示

  WindowsXP停止更新、安全问题被拷问、支付宝被曝存盗刷隐患……本周互联网安全问题频发,将国内互联网行业的安全问题推到了舆论焦点。

  数据显示,近年来中国网站受到的威胁主要包括网页篡改、网站后门、软件漏洞、类型攻击、网页仿冒等类型。业内人士认为,目前国内网络用户安全意识仍待提高,国内相关行业立法也成为不容忽视的问题。

  蚂蚁金服遭遇“多事之冬”。就在招财宝违约风波尚未平静之时,支付宝再次陷入安全性质疑。1月10日上午,一位用户在社交平台爆料称,支付宝被发现新的漏洞,熟人只要知道你最近买过的东西,且二人有共同好友,就能较为轻易地通过验证,登录你的支付宝账户。一石激起千层浪,就在用户质疑支付宝安全性之余,也把好友验证的这种方式看做变相“找补”社交短板,甚至有用户喊话支付宝关闭社交功能。从安全角度来考虑,业内人士建议,用户可以关闭免密支付。

  事件

  熟人可轻松“作案”

  1月10日上午,一篇《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的文章在市场上广为流传。据该文章披露,支付宝存在新漏洞:陌生人有1/5的机会登录你的支付宝,熟人则有100%的机会登录你的支付宝。

  具体操作方法为,在“登录手机账号”环节选择“忘记密码”和“手机不在身边”,就可以绕开以短信验证码的方式进行验证;接下来,支付宝会提供一种熟人验证的选择,以“淘宝买过的东西9张图片选1个”和“好友验证9个好友图片选1个”来核验身份,只要选对就可以登录成功。

  虽然有支付宝员工指出,选择图片时只能选择一次,选错就不能通过验证。但不少用户都反驳称,只要知道本人近期在淘宝买过的东西,以及有共同好友,就很容易完成,这样的验证方式安全性很低。加剧用户担忧的是,还有消息称,曾有用户在被熟人盗取了账号后,支付宝客服人员以“熟人作案,支付宝不予理赔”回应。

  回应

  已提高安全等级

  支付宝随后回应表示,通常情况下,用户找回登录密码至少需要输入手机短信验证码,只有对于部分暂时无法收到短信的用户或者更换移动设备的用户,风控系统才会先进行评估(比如账户信息完整程度、网络环境等因素),并在安全系数较高的情况下,才让用户回答一系列安全问题,而且只有在回答正确后,才能修改登录密码。

  支付宝强调,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  另有安全专家对记者表示,因为存在一些用户在找回密码时,会遇到无法收到短信等情况,在这种情况下通过安全问题进行验证,在业内确实较为常见,用户不必过于惊慌。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。

  支付宝方面表示,为了更好提升用户的安全感,在接到网友反映后,进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  专家

  建议关闭免密支付

  对于“熟人作案 ,支付宝不予理赔”的说法,支付宝官方人士称这并不严谨。该人士表示,通常来说,只要是支付宝账户被盗刷,支付宝都会通过保险公司进行赔偿。另外,在实际生活中,熟人作案的可能性很低,非常容易被识破。

  一位金融机构人士也对北京商报记者表示,陌生人1/5、熟人100%的两个概率过于夸张。这两个概率基于一个前提,即你的身边存在这么一个“坏人”且知道支付宝登录这个漏洞,这样他只要观察你最近买了什么东西就可以破解你的账户。

  但身边存在这么一个“坏人”的概率并不大,其次,对方破解的只是登录密码而非支付密码,只能通过小额免密来盗窃小部分资金,更多的还是支付信息的泄露,实质财产损失的风险不大。

  支付宝也对这一点进行了强调。支付宝称,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。

  还有业内人士“支招”,为避免任何一点资金受损,用户可以关闭小额免密功能。易观智库支付行业分析师王蓬博表示,用户遇到被盗刷的问题,要及时联系支付宝工作人员挂失或者按照提示将损失降低到最少;其次,用户尽可能不要开启小额免密支付功能,并在用完后随时解绑银行卡。

  用户

  “不要做社交了”

  在这次登录漏洞风波后,尽管支付宝做出了很多安全方面的保证,却依然难以完全打消用户担忧。一位市场人士指出,支付宝钱包功能的安全性漏洞无疑将降低用户对平台的信任度。

  在支付宝官微回应的评论中,记者看到,被点赞最多的评论几乎都在指责支付宝过分想要在社交方面突围。在一个喊话支付宝“好好做支付,不要做社交!”的评论下,支付宝回应称,“你说的对”。

  支付宝设置通过好友验证的这种方式,在业内人士看来,背后就是变相扩大社交功能的意图。中央财经大学金融法研究所所长黄震表示,社交成为一大软肋的支付宝是想通过这种方式增强社交性的色彩以弥补短板。不过一位安女士透露,她的支付宝好友名单中只有12个人,且仅是在“转过一次账之后就添加为好友了”,平日根本不会通过支付宝互相联系。

  事实上,蚂蚁金服的社交突围战一直未曾停止。从旺旺、雅虎关系、来往、钉钉,到其投资的陌陌、微博等社交软件,都是阿里系的社交尝试,不过,尝试结果都不太理想。之后,蚂蚁金服想借助已经拥有广泛客群的支付宝寻求突破,从新增朋友和口碑,到首页新增生活圈,再到利用芝麻信用开启“圈子”,这些尝试均不太成功。

  此前就曾有业内人士痛批,支付宝做社交最大的问题就是用户质疑为什么金融服务要混入社交属性,从用户的心理出发,会降低金融服务的安全性。本次登录漏洞风波爆发后,业内人士再次强调,封闭的财富管理和开放的社交存在矛盾,对支付企业而言,用户资金安全永远是第一位的。

  延伸阅读

  “支付安全险”热销

  记者注意到,随着支付安全问题频频爆发,保障账户安全类的保险也成了热销产品。目前,各大保险公司推出的盗刷险保障范围大同小异,保额在5万元、10万元甚至100万元的盗刷理赔险,保费往往从几角钱到几十元不等。

  某保险工作人员告诉记者,账户安全险作为意外情况的补充,花小钱买放心是个不错的选择。不过需要注意,各种产品赔付条件各不相同,消费者在购买前一定要仔细研读相关赔付条款。最好选择保障范围更广更明确的账户安全险种,在理赔时就能很清楚地划定界限,及时获得赔偿。

  专家表示,保障账户安全最重要的还是消费者的自我保护意识。比如,要保管好账号、密码和网盾,不要轻易向他人透露证件号码、账号、密码等;认清网站网址,避免陷入钓鱼网站的圈套;确保计算机系统和手机安全,定期下载并安装最新的操作系统和浏览器安全补丁。

  辣评

  移动支付要便捷也要安全

  年初,蚂蚁金服旗下支付宝年初发布了2016年的中国人全民账单。账单显示,在刚刚过去的2016年,4.5亿实名用户使用了支付宝,其中71%的支付笔数发生在移动端;同时,80后人均支付金额已超过12万元,90后使用移动支付更是高达91%。除了支付宝,手机银行、微信也成为人们日常支付的重要方式。

  10年前,中国只有700万人拥有信用卡,包括买房买车在内的几乎所有交易都是通过现金进行。但如今,越来越多的人开始通过移动设备花钱。乘着互联网技术的快车,人们的生活也步入移动支付阶段。

  不过,移动支付、互联网金融虽然方便,但背后的漏洞也不容忽视,以支付宝为例,以前网上偶尔出现一些资金被盗刷、个人信息被盗取的报道,且不说这些报道是否客观真实,但里面所提到的一些问题还是客观存在的。试想,如果放进“网络钱包”里的金钱无法保障安全,一方面移动支付“方便”的初衷无法实现,另一方面恐怕带给人们的还有恐慌。

  的确,新的支付方式需要新的手段来确保安全。作为用户人数已达世界人口6%左右的金融信息平台,它的一举一动应有肩负数亿人幸福的自觉。但光靠自觉是不够的,企业逐利天性使然,更多还是要靠外部监管来维系金融安全。

  为保障移动支付的安全,监管层也出台了《非银行支付机构自律管理评价办法》、《非银行支付机构风险专项整治工作实施方案》等规范,但在实际生活中,客户实名制落实不到位、特约商户审核不严、交易风险预警不完备、客户信息泄露等问题给移动支付带来潜在风险,亟待整治。

  律师胡钢认为,在有关移动支付消费者的保护方面,我国现有的法律制度和行业标准等还存在缺陷。他举例,现在很多第三方支付会公开表示会提供相关的责任保险,但遗憾的是,并没有公布详细的保险合同条款。因此,业内人士呼吁,必须从技术上克服安全性、客户匿名性、业务合规性等一系列难题,为移动支付产业稳定健康发展提供良好的技术基础、完善的产业配套乃至制度环境。否则,民众对互联网金融的信任一旦崩溃,就不只是“把钱取出来换家银行存”的事了。商报综合

上一篇:“开厂不如炒房”? 10家企业负责人称不能本末倒置
下一篇:最后一页

热点新闻
最新文章

友情链接与合作媒体

湖南日报 华声在线 红网 三湘都市报