联系我们
  • 联系人: 侯女士 

    电 话: 025-58630787 

    邮 箱: 81561919@qq.com 

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


支付宝回应幽灵账户 信息泄露或是罪魁祸首
2015-10-14
来源:http://netsecurity.51cto.com/
点击数: 4745          作者:江苏天网
  • 近日有网友报料支付宝实名认证存在漏洞,发现自己实名认证下多出了5个未知子账户,而他本人却并不知情。一时间,网络上炸开了锅。支付宝方面称,已系统排查并修复。

    移动支付已渗透到人们生活中的方方面面,一旦支付平台与财产安全、系统漏洞等字眼联系在一起,总能触动用户最敏感的神经。近日有网友在微博爆料支付宝实名认证系统存在安全隐患,随即引起关注。

    出现多个关联账户 网友表示“有点慌”

    据羊城晚报报道,10月10日,新 浪微博网友F9y4ng发布长微博,反映他于10月8日无意间发现,自己在2010年完成了身份证信息、银行卡信息认证的支付宝实名账户下,多出了5个未知账户。作为账户主体,他完全不知道是在什么时候出现了这5个绑定账户,也完全没收到任何形式的确认或是告知信息。而通过实名认证的支付宝账户可以进行保险、贷款等多项服务,危险系数较高。

    他马上联系了支付宝线上客服及官方客服电话95188反映情况,客服当时给出的回应为:支付宝实名账户绑定功能没有短信、邮件、站内通知等形式的实时通知,需要用户自己登录支付宝查看实名账户绑定情况; 个人账户被他人绑定了子账户,需要申诉解除绑定,目前解绑功能的开发尚在研究中; 如账户中的钱款被盗,核实后会进行赔偿。

    该网友对此回应表示难以接受,在尝试使用自助服务申请解绑的过程中被系统告知“暂不能进行身份占用申诉”。因此在长微博的最后他提出支付宝实名认证系统存在重大漏洞,在当前仅凭身份信息就认定账户所属且不发出通知的行为“难免太儿戏了”。

    此次事件马上在网络上引起热议,网友们纷纷表示:“有点慌,吓得我赶紧打开支付宝检查一下。”

    记者也试着登录了一下自己的支付宝账户,支付宝实名认证的页面地址为 certify.alipay.com,或者也可以用电脑登录支付宝后,进入“账户管理”-在下拉菜单中选择“账户设置”-在“基本信息”中找到“实名账户”一项-选择“查看”即可,页面上显示此账户名下均为记者本人绑定的账户。

    记者又了解了一下身边亲友的检查情况,少数用户表示“中招”了,已电话联系支付宝要求进行解绑,用户朱小姐提出“希望能尽快提供自助解绑的功能”。

    也有网友立即去“体验”了一下实名认证的流程,表示“添加实名认证安全性还是有保障的,需要输入支付密码与身份证号码,还有个前提是在已登录状态下,支付密码与身份证号码同时丢失的可能性不高,不过若有信息与邮件通知会更客观安全点。”

    支付宝称因个人信息泄露所致

    据21世纪经济报道报道,10月12日,记者向支付宝方面核实了解到,用户的账户出现异常关联,可能是用户的个人身份信息被盗用。目前,支付宝已经对所有认证账户进行了系统排查,对可能存在异常关联的账户进行释放。

    对于被绑定非本人又未知的“幽灵”账户,是否会造成主账户用户的资产损失问题,蚂蚁金服相关工作人员接受采访时称,实名认证账户下关联的子账户无法借用户身份发起蚂蚁花呗等贷款服务,并且支付宝有额外的风控手段进行把控,保护用户的账户安全。

    对于有关内部人员泄露信息及外部黑客攻击等造成异常账户关联的说法,蚂蚁金服也予以了否认。并称倘若是外部黑客攻击所造成的问题,那必然会导致大批量支付宝用户都会出现该问题。

    据了解,一个经过实名认证的支付宝账户,可以添加最多5个账户到名下。也就是说,一个人名下最多允许拥有6个支付宝账户,这些账户将共享身份信息。

    支付宝方面表示,支付宝实名认证,需要通过身份证、银行卡等多重信息的验证。如果发现支付宝实名认证账户下出现其他关联账户,是因为账户持有人存在自身身份证等个人隐私信息泄露的情况,导致被关联认证。

    对此,记者测试后发现,在支付宝做账户的实名认证,需要身份证、银行卡等多重验证,用户提交的身份信息还会与公安网做比对。这意味着支付宝的实名账号要被关联多个账户,需要获得大量用户隐私信息。

    但不容忽视的问题是,身份证信息和银行卡信息在目前互联网商业日渐发达的今天并不难获得,个人用户很难保证不被滥用或泄露。

    “现在网上消费、网上理财和购物、预订出行,哪样不需要提交身份证信息和银行卡信息?”一位支付宝客户对记者表示,支付宝把账户莫名被他人关联的责任归结到用户自身泄露隐私信息,这让他不能接受,“在互联网日益发达的今天,谁能保证自己的身份证银行卡号这些信息不被泄露?”

    支付宝方表示,已经对所有认证账户进行了系统排查,对可能存在异常关联的账户进行释放。但是如果个别用户发现自己的账户下仍旧存在异常关联的情况,可致电支付宝客服热线,客服人员会在核实具体情况后解除关联账户。

    与此同时,支付宝将增加关联认证成功的通知提醒。也就是说,当用户名下新增关联账户时,系统将增加提醒的环节。

    对此,账户被绑定了五个非他本人账户的用户表示,如果之前支付宝就有此环节,他也就能及时发现该问题。

    支付宝回应处置方式

    非法被绑定非本人账户后,用户最为担心的是自己账户中的资金安全,是否可能出现别人消费贷款,用户得要替他人还钱的问题。因为现在支付宝的账户不仅可以消费、支付,还有花呗、借呗等借贷产品。

    对于资金安全问题,支付宝方面也澄清,关联子账户无法借用户身份发起蚂蚁花呗等贷款服务。

    因为针对蚂蚁花呗等业务的开通,不仅会比对更全面的用户信息、对用户的历史消费数据进行参照外,还有额外的风控手段进行把控,因此用户不必担心被关联子账户冒名贷款。

    但是对于具体哪些额外的风控手段,以及比对更全面的用户信息是指哪些,蚂蚁金服相关工作人员则表示,具体的风控细节涉及到商业机密,不方便透露。

    对此,第三方支付业内人士称,非法被绑定非本人账户是支付宝的技术存在漏洞。首先,支付宝在用户绑定子账户过程中有义务对主账户对应主体用户进行短信及其它方式的通知和提醒;其次,用户也应有权解除绑定和关闭绑定账户功能。

    另有网友表示,四年前曾发现被人绑了账号,致电客服无法解绑,但11日晚间发现那账号没有了。

    对此,支付宝方做出解释称,支付宝对所有认证账户进行系统核查,紧急根据外界泄露的身份信息情况做了风险评估,对可能存在异常关联认证情况的账户做了释放处理。如果之前有显示非自己相关的账户,但现在不见了,那是支付宝监测到账户存在问题,帮用户解除了关联账户。

    如果用户担心自己的支付宝账户下也出现“幽灵账户”,可以登录支付宝官网,登入“我的支付宝”后,点击“账户管理”,在菜单中选择“账户设置”,在“基本信息”中找到“实名账户”一项,选择“查看”即可显示名下共有多少个账户。

    支付宝称已排查并修复 将新增系统提醒

    据钱江晚报报道,前天支付宝官方再次公布了关联子账户的排查情况,称支付宝已对所有认证账户进行了系统排查,对可能存在异常关联的账户进行释放。如果个别用户发现自己的账户下依旧存在异常关联的情况,可致电支付宝客服热线95188,客服人员会在核实具体情况后解除关联账户。同时,支付宝增加了关联认证成功的通知提醒。也就是说,当用户名下新增关联账户时,系统将增加提醒的环节。

    看起来,大部分问题算是有了着落。可是,最根本的隐私泄露问题,亟待关注。

    有分析认为,支付宝关联子账户事件发生的根源在于国内的个人信息倒卖的黑色产业链。目前这些在网络上倒卖个人信息已形成了完整的产业链,犯罪分子花低价就能够轻易购买到身份证等各种用户隐私信息。

    对此,有业内人士建议,用户要加强自我保护意识,不轻易对外提供个人身份相关信息。当然,最重要的还是加强个人信息保护的立法。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号