支付寶關聯賬戶漏洞 凸顯網絡實名認證難落實

　　【財新網】（見習記者 韓祎）一波未平一波又起。10月10日，新浪微博博主F9y4ng爆料稱，發現其支付寶賬戶的實名認證信息下綁定了5個未知賬戶，但其完全沒收到任何形式的確認或是告知信息，需要用戶自己登錄支付寶查看實名賬戶綁定情況；且不能直接解綁、需向支付寶客服申訴。

　　該博主認為，這意味著其他人可以利用他的實名認證身份信息貸款。支付寶人士對財新記者表示，“這的確是産品設計上不週到的地方，10月10日已經反饋給産品團隊進行規劃，將會從設計上進行改進”。

　　在一位公安部第三研究所專家看來，此前“知乎”上曝出的“螞蟻花唄”因多次聯繫不上支付寶客戶，而向其關聯人追債，亦説明支付寶賬戶實名認證落實的效果並不好。“連借款人都搞不清、聯繫不上，説明不符合KYC原則，支付寶賬戶的身份識別有效性有多大？” KYC（知道你的客戶）是國際反洗錢和實名認證開設銀行賬戶的基本規則。顯然支付寶賬戶的實名認證開戶標準和KYC開戶標準仍有較大差距。

　　目前支付寶是全球最大的第三方支付機構。來自支付寶數據顯示，其實名認證賬戶約3億多。

　　近年伴隨中國互聯網行業的高速發展，個人信息洩露亦呈高發趨勢。分析人士稱，隨著支付寶的觸角向金融業務不斷延伸，這類由於個人信息洩露引發的風險漏洞會越來越多。

　　個人信息洩露隱患

　　10月8日，網友 F9y4ng發微博稱在登錄支付寶賬戶時，不經意發現自己的實名認證信息賬戶下被綁定了5個陌生的賬戶，也從未收到任何形式的確認或告知信息來校驗，並且作為賬戶主體沒有權限直接解綁。隨後聯繫支付寶客服時，客服告訴他解綁功能還在研究，只能通過申訴後重新上傳身份信息來解綁賬戶。

　　根據前述支付寶人士的回應，支付寶開通實名認證以來一直是這樣的流程：當一位用戶為支付寶賬戶申請實名認證信息時需要上傳相應的信息，信息會被保存在支付寶系統中，當新的支付寶賬戶上傳了和系統中一致的實名信息，則會被系統自動綁定於前述支付寶賬戶（可視為“主賬戶”）下，也不需要經過主賬戶的任何校驗、沒有任何通知。

　　10日下午，支付寶的官方微博發文回應此事，回答了事件的起因、網友的疑慮、出現風險的理賠辦法。其中，支付寶將事件歸因于個人信息洩露，稱“如果發現支付寶實名認證賬戶下出現其他關聯賬戶，是因為賬戶持有人存在自身身份證等個人隱私信息洩露的情況，導致被關聯認證”。

　　這一點恰恰是眾多支付寶用戶不解的地方，他們認為實名認證關聯子賬戶時，並不需要經過主賬戶的確認存在很大的認證漏洞。

　　該支付寶人士坦言，當初在産品設計時，考慮到如果子賬戶關聯主賬戶時再進行確認，會帶來很多用戶體驗的不便，同時在初始實名認證時也已經有過校驗步驟，實名身份被盜用做關聯也是極個別的現象，所以沒有將其考慮在産品設計中。

　　11日下午，支付寶官方微博再度發文回應此事，表示對可能存在異常關聯認證情況的賬戶做了釋放處理。前述支付寶人士將“釋放處理”解釋為“把異常關聯解除掉”，但未透露解除了多少個賬戶。

　　當天，的確有很多支付寶用戶在網絡上留言，稱自己賬戶下原本關聯的陌生賬戶現在已經看不到了，支付寶方面表示這是系統核查的結果。但仍有支付寶用戶表示仍舊在申訴解除綁定過程中。據前述支付寶人士透露，系統進行核查的過程是根據對比個人信息洩露名單來排查。“但不可能獲得全部的個人信息洩露的名單，所以剩下沒被核查到的用戶仍需通過電話聯繫支付寶申訴來解除綁定”。

　　他所指的個人信息洩露名單是指從黑市交易的個人信息洩露名單。比如某網站上的賬號密碼洩露，個人信息非法交易。

　　事實上，近年隨著互聯網産業的蓬勃發展，個人信息洩露事件已呈高發趨勢，呈現出泄密渠道多、範圍廣、程度深的特點，個人信息買賣已經形成巨大的黑色産業鏈信息庫。公開數據顯示，駭客實際掌握用戶數據庫的數量已超過1億條，中國駭客的黑色産業鏈規模或高達上百億元。

　　業內人士表示，很多機構過度收集個人信息，但並不是每個機構都有能力保護這些龐大的“個人信息隱私庫”。由於《個人信息保護法》缺位，對被洩露者而言，不僅危害巨大，普遍“維權難”。

　　支付寶方面稱，下一步將會在技術上改進，增加關聯認證成功的通知提醒。目前支付寶技術團隊還在進行研究，尚未最終確定增加關聯時採用通知提醒還是校驗方式。這意味著，在系統完善前仍會存在支付寶用戶的主賬戶被關聯賬戶但並未受到確認信息的情況。

　　此前央行的一份內部報告，列舉了近年支付機構的風險案例和支付系統漏洞。比如今年1月，某支付機構洩露了上千萬張銀行卡信息，涉及全國16家銀行，截至7月31日由於偽卡形成的損失已達3900多萬元。

　　央行這份報告稱，支付機構普遍未落實賬戶實名制、風險意識薄弱、誇大宣傳、一味追求支付便捷而忽視支付安全。

　　該報告還列舉了八類風險案件，其中之一是駭客手段盜取支付寶客戶資金系列案。2015年6月，珠海市公安機關偵破一宗橫跨廣東、黑龍江、四川、上海和浙江等5省（市）的特大利用駭客手段盜取支付寶資金系列案件，打掉一個非法買賣公民個人信息、製作掃描探測軟體和實施網絡套現的犯罪團夥，犯罪嫌疑人涉嫌盜竊支付寶賬戶117個，涉案金額7萬餘元。此外，嫌疑人電腦硬碟中存儲各類公民個人信息40多億條，涉及支付寶、京東和Paypal等支付賬戶達1000多萬個，初步估算賬戶涉及資金近10億元。

　　支付寶賬戶漏洞

　　根據支付寶用戶在10月10日的反映，要想解除實名認證賬戶下已經綁定的支付寶賬戶，必須聯繫支付寶客戶提出申訴，然後重新上傳身份證等證件通過人工核查來解除綁定。這令許多用戶不解，他們認為自己作為實名認證的主賬戶應該有權刪除關聯的子賬戶、並禁止賬戶綁定功能。

　　前述支付寶人士對此解釋説，由於需要核實是否是真正的本人，“所以需要人工進一步校驗。”

　　他介紹，人工校驗的要求是上傳身份證、戶口本、社保卡這類證件，並上傳本人手持證件的圖片，支付寶工作人員據此來核實申訴人和證件上的照片是否是同一人。

　　不過，實際操作中，財新記者了解到，有的支付寶用戶被要求上傳證件，但有的支付寶用戶卻告訴財新記者，“投訴流程免除上傳前述證件”。這意味著，他人也可以利用買來的個人信息申請解除綁定，不需要上傳證件就能重新確認支付寶賬戶。

　　“操作不一致，顯然支付寶內部管理混亂。”一位業內人士表示。

　　此前10日支付寶的官方微博發文曾發文稱，支付寶實名認證，一貫需要通過身份證、銀行卡等多重信息的驗證。

　　根據支付寶官方網站上對於實名認證等級及對應權益的介紹，實名認證分為三個等級，第一級實名校驗只是身份驗證，第二級和第三級分別會增加銀行卡驗證和證件審核環節。當實名認證達到第二、三等級後，除了可使用轉賬、還款、繳費外，還可以享受理財、保險、貸款、淘寶開店等更多服務。

　　發帖的新浪微博博主F9y4ng向財新記者透露，他于2010年就進行了實名認證，已達到第三等級，所以擔心自己需要為子賬戶的不良信用負責，同時擔心自己的個人徵信信息會受到影響。

　　前述支付寶人士對此向財新記者解釋，實名認證對於貸款理財來説是一個基礎，屬於必要條件，但不是充分條件，“不是説有了實名就一定有貸款”。支付寶官方微博也回應，被綁定在實名用戶賬戶下的子賬戶無法借用戶身份發起螞蟻花唄等貸款服務，這些貸款業務的開通會比對更全面的用戶信息、對用戶的歷史消費數據進行參照外，還有額外的風控手段進行把控。

　　但在業內人士看來，前述案例説明支付寶賬戶的身份認證漏洞，這將帶來一系列連鎖問題。“芝麻信用的個人徵信報告數據主要基於阿裏集團包括支付寶的封閉體系的信息，如果基於支付寶賬戶的個人信用被盜用，誰來為徵信數據的真實性、準確性負責？如果芝麻信用提供的個人徵信報告出錯，應承擔何種責任？有無糾錯機制？”■