主頁（http://www.130131.com）：揭支付寶實(shí)名認(rèn)證漏洞作者再次發(fā)聲，回應(yīng)網(wǎng)友質(zhì)疑

集中回答一下網(wǎng)友們的問題，并對支付寶實(shí)名認(rèn)證事件的進(jìn)展做個(gè)說明

1. 很多網(wǎng)友吐槽，看到標(biāo)題的“驚天漏洞”，就認(rèn)為是黑，內(nèi)容不看了，直接開噴。

A：我說明一下為什么要叫驚天漏洞。首先，這個(gè)次的事件發(fā)生是我在很偶然的機(jī)會下，手賤點(diǎn)到了支付寶的實(shí)名認(rèn)證鏈接下，才發(fā)現(xiàn)被綁定他人賬戶，共享我的實(shí)名認(rèn)證信息和收付款額度。為什么稱為驚天，就是因?yàn)樗�的隱蔽性，一般用戶絕對不會輕易的點(diǎn)擊到實(shí)名認(rèn)證信息做檢查，因?yàn)榇蟛糠钟脩粢呀?jīng)通過了復(fù)雜的認(rèn)證過程，成為了實(shí)名認(rèn)證用戶。即使發(fā)現(xiàn)了異常也會潛意識里認(rèn)為這是個(gè)體事件，而只解決了自己實(shí)名信息的賬戶關(guān)聯(lián)，并沒有從根本上杜絕賬戶被綁定的問題。那么，就會造成更多的支付寶用戶一樣也一直不知情。至于有什么危害我后面會講到。

2.很多網(wǎng)友擔(dān)心的，它到底有什么危害，還有網(wǎng)友說自己屌絲里面沒錢，或者說無所謂的，或者是直接開噴的

A：#認(rèn)證流程#

這次事件中的問題焦點(diǎn)我想很多遇到和沒遇到這個(gè)情況的網(wǎng)友很多還是不清楚，到底是怎么回事。我能將#支付寶實(shí)名認(rèn)證的驚天漏洞#這篇文章發(fā)布出來也是在多次和支付寶的技術(shù)客服主管，支付寶專門負(fù)責(zé)投訴的部門主管反復(fù)確認(rèn)過的支付寶實(shí)名認(rèn)證綁定流程才發(fā)布出來的。

那么，這個(gè)實(shí)名認(rèn)證綁定流程到底是什么呢？

1. 事件中的實(shí)名認(rèn)證綁定流程，并非從已實(shí)名認(rèn)證通過的本人賬戶進(jìn)行子賬戶綁定。

2. 文中提到的流程是，新支付寶注冊用戶，在進(jìn)行新的實(shí)名認(rèn)證申請時(shí)，只要填寫了你本人的身份證號碼，姓名，并上傳了偽造的證件照（正反面），如果這個(gè)提交的身份信息和你的已認(rèn)證通過身份信息一致，那么這個(gè)新賬戶就會自動的默認(rèn)綁定到你的支付寶實(shí)名認(rèn)證信息下。

3. 當(dāng)發(fā)現(xiàn)被綁定其他子賬戶后，作為最早實(shí)名認(rèn)證的賬戶不能對子賬戶進(jìn)行綁定取消，也不能關(guān)閉綁定功能。

所以，這個(gè)認(rèn)證流程根本不需要本人的支付寶賬戶，密碼和支付密碼，而且在整個(gè)操作過程中，你的已通過實(shí)名認(rèn)證的賬戶不會收到任何形式的通知或是確權(quán)信息，也就是說你會一直蒙在鼓里。

#現(xiàn)實(shí)危害#

首先，這次事件的實(shí)名認(rèn)證信息綁定子賬戶對本人的賬戶內(nèi)的資金是否有直接影響，從目前支付寶官方、本人檢查和網(wǎng)友的反饋情況來看沒有直接證據(jù)證明會造成資金損失。所以網(wǎng)友不必太過驚慌，你的支付寶賬戶的資金還是安全的。他人沒有你的登陸和支付密碼是不能操作你的賬戶資金的。

很多網(wǎng)友也一直很關(guān)心，如果我的實(shí)名信息被他人綁定了會有什么影響。下面，我來給大家解釋一下實(shí)名認(rèn)證被共享的危害。實(shí)名認(rèn)證是社會個(gè)人征信的一種表現(xiàn)形式，也是社會個(gè)人征信管理的基礎(chǔ)，它具有絕對唯一性，而且也是伴隨你一生的一個(gè)信用證明。不會隨著你身份和年齡改變而發(fā)生改變。

當(dāng)你的實(shí)名認(rèn)證信息被不法分子利用，例如支付寶實(shí)名認(rèn)證的權(quán)限說明里的貸款、開淘寶店等，造成的后果就是貸款的不良信用可能是你來承擔(dān)，貸款的余額可能是你來償還，開淘寶店被洗錢或做違法事情的一切民事刑事責(zé)任都由你來承擔(dān)。這就是社會個(gè)人征信存在的意義，個(gè)人行為約束、誠信信用度證明，提高違法犯罪成本的有效手段。

至于，支付寶官方所說的目前的貸款還不能如何如何，就此我想說的是，支付寶未來一定會向大眾消費(fèi)小額信貸領(lǐng)域發(fā)展，為了提高用戶消費(fèi)時(shí)的便捷性，一切都會以實(shí)名認(rèn)證信息作為重要依據(jù)，那個(gè)時(shí)候再發(fā)現(xiàn)這個(gè)實(shí)名認(rèn)證被別人綁定的問題，就誰也說不清了吧。

這次事件反映的問題，也是支付寶個(gè)人征信風(fēng)控一個(gè)明顯的流程漏洞，如果支付寶的風(fēng)險(xiǎn)控制團(tuán)隊(duì)只能將風(fēng)控手段設(shè)計(jì)到應(yīng)用到短期的產(chǎn)品范疇的話，我想馬大帥是不是該考慮換換人了。

3.也有不少網(wǎng)友說是不是我不小心泄露了個(gè)人信息造成的這次事件。

A：其實(shí)，只要是步入了社會的人都曉得，目前中國社會的個(gè)人隱私基本上等于沒有隱私。為什么這樣說，只要你買房了，買車了，生病上醫(yī)院了，結(jié)婚生孩子了，消費(fèi)了，辦了個(gè)會員了，到某網(wǎng)站注冊了個(gè)實(shí)名用戶了都會造成你的信息泄露，而且這些泄露的渠道幾乎人盡皆知，都見怪不怪了。前年、去年某某網(wǎng)站被脫褲被盜取，千萬用戶個(gè)人信息被盜的新聞，大家可以自行搜索一下。

如果說，拿某網(wǎng)站被脫褲的個(gè)人信息到支付寶里認(rèn)證一遍的話，請問，會有多少人躺槍？

4. 很多網(wǎng)友一直在私信，@，評論我，在問怎么查實(shí)名認(rèn)證賬戶的綁定，如果有被綁定的情況，怎么處理？

A：#如何查實(shí)名認(rèn)證#

1.手機(jī)瀏覽器使用桌面模式登陸支付寶查看，APP看不了。

2.電腦上，登陸支付寶后→進(jìn)入“我的支付寶”→點(diǎn)擊“賬戶管理”，在下拉菜單中選擇“賬戶設(shè)置”→在“基本信息”中找到“實(shí)名賬戶”一項(xiàng)，選擇“查看”即可。

舊版支付寶

新版支付寶

下一個(gè)頁面就是支付寶實(shí)名認(rèn)證信息的展示頁面，里面會提示有多少綁定賬戶，和已經(jīng)綁定賬戶的列表，仔細(xì)檢查一下是否有你不認(rèn)識的賬戶存在。

#處理被陌生人綁定的賬戶#

如果你發(fā)現(xiàn)有陌生賬戶的綁定，請立即撥打電話 95188 選擇人工申訴，告知“實(shí)名認(rèn)證被陌生人綁定，要求進(jìn)行解綁”,客服會發(fā)給你申訴鏈接和上傳材料的地址，配合客服操作就行，另外處理后再看看還能不能添加子賬戶綁定了，如果不能才算完事。

5. 說一下支付寶目前的進(jìn)展，以及我的跟進(jìn)情況

從昨天網(wǎng)上1點(diǎn)到4點(diǎn)的網(wǎng)友反饋來看，支付寶方面確實(shí)在積極的對所發(fā)生的問題進(jìn)行修改，不少網(wǎng)友反映說電話根本打不進(jìn)去，這也很正常，突發(fā)事件的集中化處理肯定會線路繁忙。從已經(jīng)申訴的成功網(wǎng)友的反饋來看，支付寶已經(jīng)通過上傳證件驗(yàn)證身份后對綁定的非本人賬戶進(jìn)行了清除，并關(guān)閉了添加實(shí)名認(rèn)證賬戶綁定的功能。

也有部分網(wǎng)友反映說申訴后，沒有上傳證件，被綁定的賬戶自動消失了，而且綁定信息也由早先的5個(gè)，變?yōu)椴伙@示了。這個(gè)問題是否屬實(shí)，還是需要更多網(wǎng)友來反饋。

#事件跟進(jìn)#

從昨天接到支付寶的客服電話到今天13：30分，我還沒收到支付寶給我的任何反饋。（可能今天是周日吧）此外，我說明一下，我的賬戶實(shí)名認(rèn)證信息還沒有處理，所以網(wǎng)友們所說的處理后的情況我不是直接接觸到的，只能作為參考，需要網(wǎng)友提供更多的信息。

最后，有網(wǎng)友留言給我說支付寶公關(guān)好厲害，微博熱搜、熱門都被屏蔽了，其實(shí)，我想說，我們所做的無非是讓支付寶用戶有知情權(quán)，并督促支付寶進(jìn)行修正。換句話說，這么大的一個(gè)支付系統(tǒng)誰能保證不出問題，出問題不可怕，可怕的是平臺對出問題的畏懼和責(zé)任推脫。每個(gè)支付寶用戶都是由于信任才選擇支付寶，不會因?yàn)樗�有問題有BUG而輕易的拋棄，所有的用戶都想得到的是支付寶的一個(gè)態(tài)度和解決問題的行動。

再次感謝大家的關(guān)注和支持！

作者：F9y4ng