支付宝实名认证漏洞曝光:官方否认员工泄露信息
10月12日,近日,网友@F9y4ng 偶然间竟然发现自己的支付宝账号在其完全不知情的情况下被绑定了5个非本人账号,且无法删除。
资料图
此后,有不少网友发现支付宝出现了类似的状况,咨询客服后的结果是:支付宝被别人绑定了子账户需要申诉解除绑定,而责任不在于支付宝。
10月10日晚,蚂蚁金服安全中心官方微博则表示,实名认证账户下关联的子账户无法借用户身份发起蚂蚁花呗等贷款服务,并且支付宝有额外的风控手段进行把控,保护用户的账户安全。以下为回应全文。
资料图
内部泄露还是黑客攻击?
对于此次账户异常关联事件的原因,外界的猜测主要集中在内部员工泄露信息和外部黑客攻击上。
对于上述说法,蚂蚁金服相关工作人员表示,内部员工泄露信息是不可能的,因为所有的数据信息进行了底层加密,“小二”(如客服等工作人员)是看不见的,也不是单个人能解锁的。至于外部黑客攻击,也不可能的,如果是,那就不是一两个人的信息泄露了,整个数据库的信息都会泄露。
那么异常关联缘何发生?前述工作人员表示,当用户个人身份证号、银行卡号等诸多信息都完全配套时,基本上只有本人才可以做到,默认了属于本人操作。
但是互联网金融独立观察人车夫在接受采访时表示,这个事情主要是支付宝的问题,其技术存在漏洞,但没有去完善。
车夫称,用户个人信息已经泄露,这可能是内部人员或者外部黑客所为,而一些非法分子通过购买这些个人身份信息,如身份证号、手机号等,采用一种“扫码(号)器”的软件,匹配到对应的支付宝账号,破解密码,进而实施一系列操作。
“特别是那些使用身份证号或手机号相关数字作为密码的,账户更是容易被破解。”车夫称,支付宝在用户绑定子账户过程中有义务进行短信提醒,而在发现异常关联后用户应有权进行关闭,且支付宝应追查责任,如有资金损失,也应承担相应的责任。
“证明我是我”是正常程序
虽然有网友称自己的支付宝异常关联了其他账户,但账户的资金是安全的。采访中,前述蚂蚁金服工作人员一再强调这点,子账户无法共享主账户进行购物、贷款等操作。“实名认证信息下的子账户,相当于一张身份证在银行的不同银行卡,每张卡是相对独立的,子账户无法动用主账户的钱,不会影响资金安全。”
不过,网友“****宁小号”表示,其支付宝账号关联了对象的实名认证,能使用花呗而且还有5000的额度。
对此,前述工作人员表示,“不清楚该用户的具体情况,应该是经过实名认证人授权的,因为要在花呗上进行额度共享,需要更全面、多重、复杂的程序验证,以及相关历史消费数据记录作为参照。”
而对于要求重新上传身份信息才能对实名认证信息账户进行处理,上述发帖网友表示不能理解,“我遇到的问题和重新上传身份信息有什么关系,我的账户已经是实名认证过的主体账户了,为什么还要上传,这能证明什么?我是我么?”
对此,前述蚂蚁金服相关工作人员称,“这并不奇怪,为防止被随意更改,这是正常的程序,合乎逻辑”,甚至可能要求上传户口本、护照等进行交叉验证,确保是本人操作。
最新进展
前述蚂蚁金服工作人员表示,10月10日下午开始核查,看不到了的账户就已经被清理掉了,电话客服肯定也是查不到的。
支付宝官方微博10月11日18:00也发布信息称,已对支付宝认证账户进行系统核查,紧急根据外界泄露的身份信息情况作了风险评估,对可能存在异常关联认证情况的账户做了释放处理。该官微称,由于系统在判别上可能存在一些很少的遗漏,如果个别用户发现自己的账户下还是存在异常关联的情况,可致电客服人员帮忙解除关联账户。
此外,对于关联账户问题,前述工作人员称,将增加关联认证成功的通知提醒,“至于何种方式,还在考虑,既要尽到提醒,又要减少对客户的打扰。”
同时,该工作人员表示,用户还是要注意个人信息的保护,身份证、银行卡等妥善保管,对外提交的时候,如身份证要注明用途,以减少泄露。