翼支付被質疑存在安全漏洞
(原標題:非實名手機用戶侵入他人基金賬戶 翼支付被質疑存在安全漏洞)
“我在嘉實基金的賬戶突然進不去了!幾經投訴才發現,我留在嘉實基金的對賬郵箱已被篡改!我的基金賬戶已被他人操作!”張龍生(化名)滿臉驚疑地向《法制日報》記者講述他的遭遇。
“沒有密碼,也能操作你的賬戶?”記者問。
“通過翼支付!”
“這不難查清啊。變更嘉實基金對賬郵箱需要驗證身份或通知客戶,註冊翼支付需要身份驗證。這是常識啊。”
“問題就出在這兒。騙子註冊翼支付的手機號不是實名的,而嘉實基金的系統對翼支付數據是不核實的。”
一家是大名鼎鼎的嘉實基金,一家是中國電信的支付平臺翼支付,居然讓騙子如此輕而易舉地進入客戶基金賬戶。漏洞何在?
基金賬戶突遭變更
3月1日,張龍生突然想起,有段時間沒收到自己購買的嘉實基金的對帳單,便打開嘉實基金官網登錄查看,不想已無法進入自己實名註冊的賬戶。
張龍生趕緊撥打嘉實基金的客服電話詢問,被告知:該賬戶已於今年1月更換聯繫手機號,並取得高級實名認證,此後的對帳單信息,已發至用新手機號碼關聯註冊的189郵箱。
張龍生同時了解到,該手機號碼開通了第三方支付功能——電信翼支付業務,從1月25日至1月29日,通過翼支付連續操作3筆交易,雖然最大一筆金額僅為30元,但足以令張龍生驚出一身冷汗。
在這份交易明細中,銷售機構顯示為:直銷中心。張龍生隨即致電翼支付客服核實,“直銷中心”確實就是翼支付。客服查詢的結果是:該移動用戶是于2016年1月18日開通的翼支付。
更令張龍生驚詫不已的是,他在報警後查詢得知,該手機號碼竟然是135開頭的河南鄭州的移動用戶,而且為非實名註冊。不過,因數額較小,警方未予立案。
心有餘悸的張龍生立即挂失銀行卡並凍結基金。令他不解的是:作為一家國內知名的基金公司,是什麼樣的漏洞,讓這個神秘的電話號碼,輕而易舉地就更改了自己的賬戶信息並進行交易?
代銷直聯權限很大
3月2日,在北京的嘉實基金辦公大樓,記者隨張龍生一起見到客服部的吳女士。
翼支付是如何關聯到嘉實基金,並能在嘉實的系統內進行交易呢?吳女士解釋稱:“翼支付屬於嘉實的‘代銷直聯’機構,我們是平臺之間的合作關係。這種關係使得他們的權限,甚至比作為代銷機構的銀行還要稍大一些。即他們使用嘉實系統,傳來的數據我們只能被動接收。”
按照這個解釋,只要開通了翼支付,就可以操作嘉實基金賬戶。那麼,騙子何以能操作張龍生的賬戶呢?
吳女士説:“可能是(騙子)從哪兒得到了張先生的身份證信息,用張先生的身份信息開通了翼支付,並關聯了嘉實基金賬戶。”
張龍生似有所悟:“因為翼支付傳到嘉實基金的數據,嘉實基金不再核實,導致騙子很容易變更了對帳單郵箱。我的賬戶信息就這樣洩露了。”
吳女士寬慰張龍生説:“他即便看到您的基金賬戶資料,也只是交易信息。但看不到密碼,看不到其他信息。”
騙子曾在5天內連續利用張龍生的賬戶進行3筆小額交易,動機是什麼?張龍生説:“我推測他是想先激活我的賬戶,再通過我的身份證信息,利用翼支付平臺,把我的銀行卡換掉,最終達到將我賬戶裏的資金轉走的目的。”
既然嘉實基金對翼支付傳過來的數據“被動接收”,那麼,風險把關的源頭就只能靠翼支付了。一個非實名的手機號碼是怎樣在翼支付註冊成功的?
手機號碼隨意註冊
張龍生從翼支付客服中心了解到,移動、聯通、電信手機號碼都可以開通翼支付賬戶。只不過,電信號碼享受的優惠有所不同。翼支付用戶分為非實名認證和實名認證兩種。前者只要有一個手機號碼就可以。
記者隨後採訪了天翼電子商務有限公司(即翼支付)監管法律部相關負責人。
這名負責人介紹説:“不實名認證用戶,既沒有關聯銀行卡,也沒有關聯身份證。用戶可以充值,也可以把錢取出來,只有這一個功能,而且額度很小,也就幾百元錢。高級實名認證用戶才可以關聯基金賬戶。關聯過程中,需要驗證銀行卡信息、銀行卡密碼以及身份證信息。手機在用戶手上,他可以收到驗證碼。”
按照這個解釋,能夠與張龍生基金賬戶綁定的翼支付,一定是經過多重驗證的。翼支付法律部這名負責人反問:“有了如此嚴密的驗證,憑什麼要求支付平臺負責任?負不法分子盜竊身份證信息、銀行卡密碼的責任?也就是説,用戶沒有保護好自己的銀行卡密碼,與平臺有關係嗎?嘉實基金這個用戶的遭遇,是很典型的用戶身份信息洩露造成的。被盜刷並非是翼支付一家遇到的問題,而是不斷發展中的整個互聯網金融業都必須面臨的挑戰。”
對於這種解釋,張龍生並不認賬:“非實名的手機號碼成功註冊了翼支付,但是如何取得了高級用戶認證的,作為管理方應該有核實的義務。如果大家都用盜用的身份信息開通,還有安全可言嗎?”
翼支付盜刷維權群
同樣質疑翼支付的,顯然不止張龍生一個人。
記者調查得知,QQ上有一個“翼支付被盜維權群”,群內成員達400多人。
這些“被翼支付盜刷”者中,損失少則幾十元、數百元,多則上萬元。網友木木便是其中之一,也是損失最為慘重的——總計達35100元。
來自四川成都的木木告訴記者,從今年2月16日到22日,他的銀行卡被盜刷11筆,分別涉及光大、招商、農業3家銀行。
光大、招商兩張銀行卡被盜刷後,木木趕緊把款轉到3個月前才開通農行卡上,因為這張卡網銀、手機銀行等功能都沒有開通。
可萬萬沒想到,木木3月5日去農行取錢時發現,農行卡再次被盜刷。他並沒有翼支付賬戶,但是經查詢,錢都是翼支付劃出去的,最終去向都是一家名為“浙江開心果網絡科技有限公司”的企業。這家公司給出的解釋是遊戲充值,並且給了他一個充值的手機號,但那個號碼一直處於關機狀態。
發稿前,張龍生給記者打來電話説,那個讓他心驚膽寒的非實名手機號碼註冊的翼支付賬戶,已在3月8日被翼支付平臺登出了。但該賬戶何以通過高級實名身份驗證、賬戶如何開通並關聯到嘉實基金等疑問,都沒有得到翼支付的答覆。(記者 余瀛波)