主頁(http://www.130131.com):揭支付寶實(shí)名認(rèn)證漏洞作者再次發(fā)聲,回應(yīng)網(wǎng)友質(zhì)疑 集中回答一下網(wǎng)友們的問題,并對支付寶實(shí)名認(rèn)證事件的進(jìn)展做個(gè)說明 1. 很多網(wǎng)友吐槽,看到標(biāo)題的“驚天漏洞”,就認(rèn)為是黑,內(nèi)容不看了,直接開噴。 A:我說明一下為什么要叫驚天漏洞。首先,這個(gè)次的事件發(fā)生是我在很偶然的機(jī)會下,手賤點(diǎn)到了支付寶的實(shí)名認(rèn)證鏈接下,才發(fā)現(xiàn)被綁定他人賬戶,共享我的實(shí)名認(rèn)證信息和收付款額度。為什么稱為驚天,就是因?yàn)樗碾[蔽性,一般用戶絕對不會輕易的點(diǎn)擊到實(shí)名認(rèn)證信息做檢查,因?yàn)榇蟛糠钟脩粢呀?jīng)通過了復(fù)雜的認(rèn)證過程,成為了實(shí)名認(rèn)證用戶。即使發(fā)現(xiàn)了異常也會潛意識里認(rèn)為這是個(gè)體事件,而只解決了自己實(shí)名信息的賬戶關(guān)聯(lián),并沒有從根本上杜絕賬戶被綁定的問題。那么,就會造成更多的支付寶用戶一樣也一直不知情。至于有什么危害我后面會講到。 2.很多網(wǎng)友擔(dān)心的,它到底有什么危害,還有網(wǎng)友說自己屌絲里面沒錢,或者說無所謂的,或者是直接開噴的 A:#認(rèn)證流程# 這次事件中的問題焦點(diǎn)我想很多遇到和沒遇到這個(gè)情況的網(wǎng)友很多還是不清楚,到底是怎么回事。我能將#支付寶實(shí)名認(rèn)證的驚天漏洞#這篇文章發(fā)布出來也是在多次和支付寶的技術(shù)客服主管,支付寶專門負(fù)責(zé)投訴的部門主管反復(fù)確認(rèn)過的支付寶實(shí)名認(rèn)證綁定流程才發(fā)布出來的。 那么,這個(gè)實(shí)名認(rèn)證綁定流程到底是什么呢? 1. 事件中的實(shí)名認(rèn)證綁定流程,并非從已實(shí)名認(rèn)證通過的本人賬戶進(jìn)行子賬戶綁定。 2. 文中提到的流程是,新支付寶注冊用戶,在進(jìn)行新的實(shí)名認(rèn)證申請時(shí),只要填寫了你本人的身份證號碼,姓名,并上傳了偽造的證件照(正反面),如果這個(gè)提交的身份信息和你的已認(rèn)證通過身份信息一致,那么這個(gè)新賬戶就會自動的默認(rèn)綁定到你的支付寶實(shí)名認(rèn)證信息下。 3. 當(dāng)發(fā)現(xiàn)被綁定其他子賬戶后,作為最早實(shí)名認(rèn)證的賬戶不能對子賬戶進(jìn)行綁定取消,也不能關(guān)閉綁定功能。 所以,這個(gè)認(rèn)證流程根本不需要本人的支付寶賬戶,密碼和支付密碼,而且在整個(gè)操作過程中,你的已通過實(shí)名認(rèn)證的賬戶不會收到任何形式的通知或是確權(quán)信息,也就是說你會一直蒙在鼓里。 #現(xiàn)實(shí)危害# 首先,這次事件的實(shí)名認(rèn)證信息綁定子賬戶對本人的賬戶內(nèi)的資金是否有直接影響,從目前支付寶官方、本人檢查和網(wǎng)友的反饋情況來看沒有直接證據(jù)證明會造成資金損失。所以網(wǎng)友不必太過驚慌,你的支付寶賬戶的資金還是安全的。他人沒有你的登陸和支付密碼是不能操作你的賬戶資金的。 很多網(wǎng)友也一直很關(guān)心,如果我的實(shí)名信息被他人綁定了會有什么影響。下面,我來給大家解釋一下實(shí)名認(rèn)證被共享的危害。實(shí)名認(rèn)證是社會個(gè)人征信的一種表現(xiàn)形式,也是社會個(gè)人征信管理的基礎(chǔ),它具有絕對唯一性,而且也是伴隨你一生的一個(gè)信用證明。不會隨著你身份和年齡改變而發(fā)生改變。 當(dāng)你的實(shí)名認(rèn)證信息被不法分子利用,例如支付寶實(shí)名認(rèn)證的權(quán)限說明里的貸款、開淘寶店等,造成的后果就是貸款的不良信用可能是你來承擔(dān),貸款的余額可能是你來償還,開淘寶店被洗錢或做違法事情的一切民事刑事責(zé)任都由你來承擔(dān)。這就是社會個(gè)人征信存在的意義,個(gè)人行為約束、誠信信用度證明,提高違法犯罪成本的有效手段。 至于,支付寶官方所說的目前的貸款還不能如何如何,就此我想說的是,支付寶未來一定會向大眾消費(fèi)小額信貸領(lǐng)域發(fā)展,為了提高用戶消費(fèi)時(shí)的便捷性,一切都會以實(shí)名認(rèn)證信息作為重要依據(jù),那個(gè)時(shí)候再發(fā)現(xiàn)這個(gè)實(shí)名認(rèn)證被別人綁定的問題,就誰也說不清了吧。 這次事件反映的問題,也是支付寶個(gè)人征信風(fēng)控一個(gè)明顯的流程漏洞,如果支付寶的風(fēng)險(xiǎn)控制團(tuán)隊(duì)只能將風(fēng)控手段設(shè)計(jì)到應(yīng)用到短期的產(chǎn)品范疇的話,我想馬大帥是不是該考慮換換人了。 3.也有不少網(wǎng)友說是不是我不小心泄露了個(gè)人信息造成的這次事件。 A:其實(shí),只要是步入了社會的人都曉得,目前中國社會的個(gè)人隱私基本上等于沒有隱私。為什么這樣說,只要你買房了,買車了,生病上醫(yī)院了,結(jié)婚生孩子了,消費(fèi)了,辦了個(gè)會員了,到某網(wǎng)站注冊了個(gè)實(shí)名用戶了都會造成你的信息泄露,而且這些泄露的渠道幾乎人盡皆知,都見怪不怪了。前年、去年某某網(wǎng)站被脫褲被盜取,千萬用戶個(gè)人信息被盜的新聞,大家可以自行搜索一下。 如果說,拿某網(wǎng)站被脫褲的個(gè)人信息到支付寶里認(rèn)證一遍的話,請問,會有多少人躺槍? 4. 很多網(wǎng)友一直在私信,@,評論我,在問怎么查實(shí)名認(rèn)證賬戶的綁定,如果有被綁定的情況,怎么處理? A:#如何查實(shí)名認(rèn)證# 1.手機(jī)瀏覽器使用桌面模式登陸支付寶查看,APP看不了。 2.電腦上,登陸支付寶后→進(jìn)入“我的支付寶”→點(diǎn)擊“賬戶管理”,在下拉菜單中選擇“賬戶設(shè)置”→在“基本信息”中找到“實(shí)名賬戶”一項(xiàng),選擇“查看”即可。
舊版支付寶
新版支付寶
下一個(gè)頁面就是支付寶實(shí)名認(rèn)證信息的展示頁面,里面會提示有多少綁定賬戶,和已經(jīng)綁定賬戶的列表,仔細(xì)檢查一下是否有你不認(rèn)識的賬戶存在。 #處理被陌生人綁定的賬戶# 如果你發(fā)現(xiàn)有陌生賬戶的綁定,請立即撥打電話 95188 選擇人工申訴,告知“實(shí)名認(rèn)證被陌生人綁定,要求進(jìn)行解綁”,客服會發(fā)給你申訴鏈接和上傳材料的地址,配合客服操作就行,另外處理后再看看還能不能添加子賬戶綁定了,如果不能才算完事。 5. 說一下支付寶目前的進(jìn)展,以及我的跟進(jìn)情況 從昨天網(wǎng)上1點(diǎn)到4點(diǎn)的網(wǎng)友反饋來看,支付寶方面確實(shí)在積極的對所發(fā)生的問題進(jìn)行修改,不少網(wǎng)友反映說電話根本打不進(jìn)去,這也很正常,突發(fā)事件的集中化處理肯定會線路繁忙。從已經(jīng)申訴的成功網(wǎng)友的反饋來看,支付寶已經(jīng)通過上傳證件驗(yàn)證身份后對綁定的非本人賬戶進(jìn)行了清除,并關(guān)閉了添加實(shí)名認(rèn)證賬戶綁定的功能。 也有部分網(wǎng)友反映說申訴后,沒有上傳證件,被綁定的賬戶自動消失了,而且綁定信息也由早先的5個(gè),變?yōu)椴伙@示了。這個(gè)問題是否屬實(shí),還是需要更多網(wǎng)友來反饋。 #事件跟進(jìn)# 從昨天接到支付寶的客服電話到今天13:30分,我還沒收到支付寶給我的任何反饋。(可能今天是周日吧)此外,我說明一下,我的賬戶實(shí)名認(rèn)證信息還沒有處理,所以網(wǎng)友們所說的處理后的情況我不是直接接觸到的,只能作為參考,需要網(wǎng)友提供更多的信息。 最后,有網(wǎng)友留言給我說支付寶公關(guān)好厲害,微博熱搜、熱門都被屏蔽了,其實(shí),我想說,我們所做的無非是讓支付寶用戶有知情權(quán),并督促支付寶進(jìn)行修正。換句話說,這么大的一個(gè)支付系統(tǒng)誰能保證不出問題,出問題不可怕,可怕的是平臺對出問題的畏懼和責(zé)任推脫。每個(gè)支付寶用戶都是由于信任才選擇支付寶,不會因?yàn)樗袉栴}有BUG而輕易的拋棄,所有的用戶都想得到的是支付寶的一個(gè)態(tài)度和解決問題的行動。 再次感謝大家的關(guān)注和支持! 作者:F9y4ng (中國集群通信網(wǎng) | 責(zé)任編輯:李俊勇) |



