33
windows
監管黑洞:支付寶實名認證關聯機製架空實名製
“我的實名認證信息下多出了5個未知賬戶。作為賬戶主體,我完全不知道是在什麼時間,就有了這5個綁定賬戶,我也完全沒收到任何形式的確認或是告知信息,通知告知我,我的實名認證賬戶下綁定了以上5個賬戶。……如果不是當時偶然的機會點到實名認證的鏈接,我可能一輩子也不知道自己的主賬戶下綁定如此多不屬於我個人的子賬戶。”
新浪微博@F9y4ng披露支付寶關聯認證漏洞,字裏行間透露著不安。
圖1 @F9y4ng披露支付寶關聯認證漏洞引發熱議,大量用戶跟帖聲稱中招
圖2 @F9y4ng名下被關聯5個陌生子賬戶,身份信息遭盜用
@F9y4ng來自深圳特區,資深互聯網人,長期關注信息安全。他在長篇博文《支付寶實名認證的驚天漏洞》指責支付寶方麵推卸責任、輕忽安全。麵對支付寶方麵“錢被盜了,我們支付寶核實後是會有賠償的”、“小二(注:客服自稱)的賬戶還是被綁定在一個陌生的賬戶”、“等研究的流程出來才可以解綁”等答複,@F9y4ng對其沒有惡意子賬戶問題處理預案深感失望。
圖3 支付寶客服表示自己也中招,尚無解決方案
子賬戶關聯容易 撤銷需證明“我是我”
支付寶官方網站顯示,通過綁定和驗證銀行卡方式完成實名認證的支付寶賬戶,可以添加多個關聯子賬戶,關聯子賬戶共享主賬戶身份信息,不必綁定和驗證銀行卡,自動成為實名認證賬戶。測試表明,驗證主賬戶的支付密碼和身份證號即可添加子賬戶,二者皆為靜態信息,沒有輔助驗證(例如郵件或短信驗證碼等動態驗證),為釣魚或掛馬盜號者拓展了新的利益空間——盜賣認證身份。
然而,添加子賬戶容易,撤銷子賬戶就難了。支付寶方麵強調,主賬戶持有人無法自行撤銷關聯子賬戶,必須致電客服、上傳身份證明文件核實身份後,由支付寶工作人員協助才能撤銷。
帶著對該流程設置的疑問,記者致電詢問支付寶客服人員,得到的答複是“為了保護賬戶安全”。這個理由是成立的,畢竟撤銷子賬戶關聯相當於撤銷其實名認證,可能影響相關財產權利和義務。然而被惡意添加子賬戶的潛在風險並不亞於被惡意撤銷子賬戶,這個理由無法解釋為何添加子賬戶比撤銷子賬戶要容易得多。
子賬戶不受主賬戶控製 實名製架空
進一步測試表明,除了共享身份和權限,支付寶關聯賬戶間沒有任何從屬關係,子賬戶是獨立賬戶,完全不受主賬戶控製,然而其功能和權限與主賬戶相同,包括收款、付款、轉賬、理財、開店等(未實名賬戶僅允許通過網銀付款,且不能收款)。
圖4 添加以共享身份後,子賬戶仍是獨立賬戶,不受主賬戶控製
這意味著不法分子可以借用或盜用他人名義在支付寶平台內、或在支付寶和銀行間從事非法活動,包括但不限於洗錢、非法交易、行賄受賄等,為架空實名製、製造金融和經營監管黑洞開啟了方便之門。律師表示,由於關聯子賬戶驗證門檻偏低,且被關聯不明子賬戶問題已被不少用戶證實客觀存在,主賬戶持有人事後可以“子賬戶不是我的,我也不知道是誰的”為由拒絕透露子賬戶持有人真實身份、逃避法律責任(某些情況下可確認子賬戶屬於本人以包庇職務犯罪者)。這樣一來,借用和盜用的邊界就模煳了,加上子賬戶不必綁定任何銀行卡,雙方違法成本和風險都接近於零。與此相比,那些借用或盜用他人銀行卡以隱匿本人真實身份的簡直弱爆了。
支付寶官方網站依然聲稱其實名認證“為第三方提供”、“由眾多知名銀行共同參與”、“同時核實用戶身份信息和銀行賬戶信息,極大提升其真實性”,但其實名認證關聯機製卻允許用戶自行關聯最多5個無法控製的他人賬戶,他人無需身份證和銀行卡,僅憑電子郵箱即可獲得完全控製、完全功能的實名認證賬戶,支付寶從“實名製第三方支付平台”變身“偽實名製銀行”。
停用實名認證關聯機製 消除監管黑洞
截至目前,支付寶兩次聲明均限於技術性安全風險,提醒用戶保護個人信息,承諾增加關聯認證通知,並向用戶致歉。但這些補救措施遠遠不夠,隔靴搔癢,治標不治本。
鑒於名下發現不明子賬戶者並非個案,支付寶應主動通知名下存在子賬戶的所有用戶自行核查,指導和協助受影響用戶盡早發現和排除隱患。
央行日前公布的《非銀行支付機構網絡支付業務管理辦法(征求意見稿)》對實名製提出了更高標準,要求對客戶身份基本信息進行多重交叉驗證,確保有效核實客戶身份。實名認證關聯機製與此要求完全背道而馳,支付寶方麵應收回其用戶共享實名認證的權利,停用實名認證關聯機製,消除監管黑洞。
如果放任自流,恐將鑄成大錯。
最後更新:2017-10-08 01:18:15