手机看中经经济日报微信中经网微信

翼支付被质疑存在安全漏洞

2016年03月15日 09:43    来源: 法制日报    

  制图/孟绍群

编者按

 

  消费在升级,消费者的烦恼也在升级。

  去年11月,国务院办公厅下发《关于加强金融消费者权益保护工作的指导意见》,这是第一次在中央层面的文件中,明确提出“金融消费者”的概念。意见要求,保障金融消费者财产安全权、知情权、自主选择权、公平交易权、依法求偿权、受教育权、受尊重权和信息安全权。

  金融消费者是金融市场的重要参与者,也是金融业持续健康发展的推动者。加强金融消费者权益保护工作,是防范和化解金融风险的重要内容,对提升金融消费者信心、维护金融安全与稳定、促进社会公平正义和社会和谐具有积极意义。

  今年的“3·15”专题报道,我们的关注点聚焦在金融消费安全。

  □ 本报记者  余瀛波

  “我在嘉实基金的账户突然进不去了!几经投诉才发现,我留在嘉实基金的对账邮箱已被篡改!我的基金账户已被他人操作!”张龙生(化名)满脸惊疑地向《法制日报》记者讲述他的遭遇。

  “没有密码,也能操作你的账户?”记者问。

  “通过翼支付!”

  “这不难查清啊。变更嘉实基金对账邮箱需要验证身份或通知客户,注册翼支付需要身份验证。这是常识啊。”

  “问题就出在这儿。骗子注册翼支付的手机号不是实名的,而嘉实基金的系统对翼支付数据是不核实的。”

  一家是大名鼎鼎的嘉实基金,一家是中国电信的支付平台翼支付,居然让骗子如此轻而易举地进入客户基金账户。漏洞何在?

  基金账户突遭变更

  3月1日,张龙生突然想起,有段时间没收到自己购买的嘉实基金的对账单,便打开嘉实基金官网登录查看,不想已无法进入自己实名注册的账户。

  张龙生赶紧拨打嘉实基金的客服电话询问,被告知:该账户已于今年1月更换联系手机号,并取得高级实名认证,此后的对账单信息,已发至用新手机号码关联注册的189邮箱。

  张龙生同时了解到,该手机号码开通了第三方支付功能——电信翼支付业务,从1月25日至1月29日,通过翼支付连续操作3笔交易,虽然最大一笔金额仅为30元,但足以令张龙生惊出一身冷汗。

  在这份交易明细中,销售机构显示为:直销中心。张龙生随即致电翼支付客服核实,“直销中心”确实就是翼支付。客服查询的结果是:该移动用户是于2016年1月18日开通的翼支付。

  更令张龙生惊诧不已的是,他在报警后查询得知,该手机号码竟然是135开头的河南郑州的移动用户,而且为非实名注册。不过,因数额较小,警方未予立案。

  心有余悸的张龙生立即挂失银行卡并冻结基金。令他不解的是:作为一家国内知名的基金公司,是什么样的漏洞,让这个神秘的电话号码,轻而易举地就更改了自己的账户信息并进行交易?

  代销直联权限很大

  3月2日,在北京的嘉实基金办公大楼,记者随张龙生一起见到客服部的吴女士。

  翼支付是如何关联到嘉实基金,并能在嘉实的系统内进行交易呢?吴女士解释称:“翼支付属于嘉实的‘代销直联’机构,我们是平台之间的合作关系。这种关系使得他们的权限,甚至比作为代销机构的银行还要稍大一些。即他们使用嘉实系统,传来的数据我们只能被动接收。”

  按照这个解释,只要开通了翼支付,就可以操作嘉实基金账户。那么,骗子何以能操作张龙生的账户呢?

  吴女士说:“可能是(骗子)从哪儿得到了张先生的身份证信息,用张先生的身份信息开通了翼支付,并关联了嘉实基金账户。”

  张龙生似有所悟:“因为翼支付传到嘉实基金的数据,嘉实基金不再核实,导致骗子很容易变更了对账单邮箱。我的账户信息就这样泄露了。”

  吴女士宽慰张龙生说:“他即便看到您的基金账户资料,也只是交易信息。但看不到密码,看不到其他信息。”

  骗子曾在5天内连续利用张龙生的账户进行3笔小额交易,动机是什么?张龙生说:“我推测他是想先激活我的账户,再通过我的身份证信息,利用翼支付平台,把我的银行卡换掉,最终达到将我账户里的资金转走的目的。”

  既然嘉实基金对翼支付传过来的数据“被动接收”,那么,风险把关的源头就只能靠翼支付了。一个非实名的手机号码是怎样在翼支付注册成功的?

  手机号码随意注册

  张龙生从翼支付客服中心了解到,移动、联通、电信手机号码都可以开通翼支付账户。只不过,电信号码享受的优惠有所不同。翼支付用户分为非实名认证和实名认证两种。前者只要有一个手机号码就可以。

  记者随后采访了天翼电子商务有限公司(即翼支付)监管法律部相关负责人。

  这名负责人介绍说:“不实名认证用户,既没有关联银行卡,也没有关联身份证。用户可以充值,也可以把钱取出来,只有这一个功能,而且额度很小,也就几百元钱。高级实名认证用户才可以关联基金账户。关联过程中,需要验证银行卡信息、银行卡密码以及身份证信息。手机在用户手上,他可以收到验证码。”

  按照这个解释,能够与张龙生基金账户绑定的翼支付,一定是经过多重验证的。翼支付法律部这名负责人反问:“有了如此严密的验证,凭什么要求支付平台负责任?负不法分子盗窃身份证信息、银行卡密码的责任?也就是说,用户没有保护好自己的银行卡密码,与平台有关系吗?嘉实基金这个用户的遭遇,是很典型的用户身份信息泄露造成的。被盗刷并非是翼支付一家遇到的问题,而是不断发展中的整个互联网金融业都必须面临的挑战。”

  对于这种解释,张龙生并不认账:“非实名的手机号码成功注册了翼支付,但是如何取得了高级用户认证的,作为管理方应该有核实的义务。如果大家都用盗用的身份信息开通,还有安全可言吗?”

  翼支付盗刷维权群

  同样质疑翼支付的,显然不止张龙生一个人。

  记者调查得知,QQ上有一个“翼支付被盗维权群”,群内成员达400多人。

  这些“被翼支付盗刷”者中,损失少则几十元、数百元,多则上万元。网友木木便是其中之一,也是损失最为惨重的——总计达35100元。

  来自四川成都的木木告诉记者,从今年2月16日到22日,他的银行卡被盗刷11笔,分别涉及光大、招商、农业3家银行。

  光大、招商两张银行卡被盗刷后,木木赶紧把款转到3个月前才开通农行卡上,因为这张卡网银、手机银行等功能都没有开通。

  可万万没想到,木木3月5日去农行取钱时发现,农行卡再次被盗刷。他并没有翼支付账户,但是经查询,钱都是翼支付划出去的,最终去向都是一家名为“浙江开心果网络科技有限公司”的企业。这家公司给出的解释是游戏充值,并且给了他一个充值的手机号,但那个号码一直处于关机状态。

  发稿前,张龙生给记者打来电话说,那个让他心惊胆寒的非实名手机号码注册的翼支付账户,已在3月8日被翼支付平台注销了。但该账户何以通过高级实名身份验证、账户如何开通并关联到嘉实基金等疑问,都没有得到翼支付的答复。


(责任编辑: 关婧 )

    中国经济网声明:股市资讯来源于合作媒体及机构,属作者个人观点,仅供投资者参考,并不构成投资建议。投资者据此操作,风险自担。
上市全观察