|
导语 topnews-9 九个头条网讯 近日,支付宝又出事了!一名实名认证的支付宝用户爆料,支付宝出现最新漏洞,即在该用户实名认证信息下竟然绑定5个未知账户,而用户此前并不知情。更可怕的是,这些实名认证下绑定的这些账户,可享受理财、保险及贷款等服务。 未知绑定账户可“为所欲为” 据该支付宝用户称,其偶然点击实名认证的链接,发现其账户实名认证信息下,多出5个未知绑定子账户,且此前其未收到任何形式的告知、确认信息,不论是短信、邮件、或者是登陆后的站内信息都没有。 在上述情况下,多出的这5个绑定子账户,在该用户支付宝的主账户中可以做什么呢?根据支付宝“认证等级及对应权益”显示,实名认证V1/V2级别,及用户已进行身份验证、银行卡验证、证件审核之后,除却使用转账、还款、缴费,还可享受理财、保险、贷款、淘宝开店等服务。 这意味着什么?用该用户的话表述,那5个绑定主账户的未知子账户可以用主账户的身份信息,轻易进行贷款、购买理财产品及保险,而费用则由主账户支付、归还! 解绑未知账户有困难 爆料的改名用户发现问题后,联系支付宝客服,希望解绑那5个未知账户,并要求给出合理解释,不料对方告知暂不可解绑。 无奈,再拨打客服电话95188,几番波折,支付宝有关主管告知,“支付宝账户被别人绑定了子账户,你需要申诉解除绑定,而且责任不在于支付宝。” 支付宝漏洞4大疑问 显然,支付宝方面并未直接回答该用户以下四个疑问: 1、 支付宝实名认证所完成的身份证信息、银行卡信息等认证,陌生人为何还能附加在上述已认证过的信息之下? 2、实名认证的子账户绑定流程是否存在严重漏洞?任何人只要伪造某人的身份信息,提交的认证材料和已实名账户的信息一致就可以直接附加子账户,而不需要原有实名主账户的确认? 3、当实名账户被绑定了其他子账户时,为什么没有收到任何形式的确权信息? 4、作为实名认证的主账户,为何不能删除已授权子账户,并禁止账户绑定功能? 支付宝回应:已新增通知提醒 对此,昨日(10月11日)支付宝官方作出四点回应,并表示“已对支付宝认证账户进行系统核查”,系统在判别上可能存在一些很少的遗漏,如果个别用户发现自己的账户下还是存在异常关联的情况,可致电客服人员帮忙解除关联账户。 支付宝此前已有多次漏洞 近几年,支付宝被爆出的漏洞不止一宗。 今年7月8日,支付宝推出被称为“12年来最具革命性”的支付宝9.0版本,但广受用户诟病,原因是支付宝9.0不仅强制关闭了手势密码,就连更改支付密码都无需提供任何证明,由此引发用户手机被盗后可同机发送密码重置短信,而致账号被接管的漏洞。 2014年12月17日,国内著名的漏洞报告平台乌云发布紧急预警称,淘宝和支付宝认证被爆存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,即无密码便可任意登录,该漏洞被描述为“通过搜索引擎、不用账号、密码,可直接获取用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息) ”。 2013年,支付宝推出快捷支付服务,但其后却被质疑快捷支付存在重大安全漏洞:用户开通快捷支付后,手机万一丢失,拾机者可通过手机短信验证码登录、修改支付宝密码,并在短时间内轻易利用快捷支付进行最高2万元的转账。 |
|
|
