首页 > 电商资讯 > 支付宝实名认证被爆出惊天漏洞
2015
10-14

支付宝实名认证被爆出惊天漏洞

日前微博网友@F9yng在微博上控诉支付宝泄露个人信息,被他人认证5个未知实名账户,并且还原了时事件的整个过程,令人惊悚。其长微博原文如下:

周四,登陆支付宝后无意间打开支付宝实名认证页面,发现如下情况:

支付宝实名认证被爆出惊天漏洞 - 第1张  | vicken电商运营

我的实名认证信息下多出了5个未知账户。作为账户主体,我完全不知道是在什么时间,就有了这5个绑定账户,我也完全没收到任何形式的确认或是告知信息,通知告知我,我的实名认证账户下绑定了以上5个账户。是的,你没看错,不论是短信、邮件、或者是登陆后的站内信息都没有。如果不是当时偶然的机会点到实名认证的链接,我可能一辈子也不知道自己的主账户下绑定如此多不属于我个人的子账户。

那么实名认证的账户都能够借贷,如果有不法分子拿到这个认证信息,那么贷款也是放到你的实名信息名下的。也就是别人拿的身份贷款,你自己来还。

于是乎,当机立断联系支付宝客服,反映相关情况,支付宝客服线上客服给出了如下答复:解绑功能还在研究中,现在不能解绑,要等研究出来才能操作,我自己的支付宝也有一个未知绑定账户,我都不担心,没关系的。对于未经客户允许就能随便绑定的问题客户没有正面回应,只撂下一句:账户钱丢了支付宝会赔。

立刻,马上电话95188,连续语音导航N次,在等待了漫长的十分钟时间后,终于接通了人工客服,立刻反映情况,客服连续转了N个主管和领导,最后告知我,支付宝账户被别人绑定了子账户,你需要申诉解除绑定,而且责任不在于支付宝。

当时我就傻B了,责任不支付宝?那就是在我咯?问题来了:

1、 支付宝的实名认证,我在2010年就完成了身份证信息,银行卡信息的认证,为什么别人还能附加在我已经认证过的信息下?

2、 实名认证的子账户绑定流程是否存在严重的漏洞?任何人只要伪造某人的身份信息,只要提交的认证材料和已实名账户的信息一致就可以直接附加子账户,不需要原有实名账户的确认?

3、当我的实名账户被绑定了其他子账户时,为什么没有收到任何形式的确权信息,注册过的手机、邮件、已经主账户登录支付宝后的站内信都没有任何形式的提示?不确权就随意附加账户到别人的实名认证账户下是不是流氓行为?

4、我作为实名认证的主账户,为什么不能删除已授权子账户,并禁止账户绑定功能?支付宝是不是在刻意制造漏洞?

带着以上问题,我在周四当天晚上提交了支付宝的报案信息,于今天早上9:23分,接到支付宝客服中心某程姓客服的电话,电话一接通就是要求我重新上传身份证,根本不回答我的疑问。及其明确的表示,

第一,支付宝的实名认证绑定流程不需要已实名认证账户的确认,也不需要登陆已实名认证账户,只要申请者提交身份信息和已认证账户一致就默认通过认证绑定;

第二,支付宝实名账户绑定功能没有短信、邮件、站内通知等形式的实时通知,需要用户自己登陆支付宝查看实名账户绑定情况;

第三,想删除子账户,你就必须申诉,并重新上传身份证;

第四,这件事情上,支付宝没有一点责任,全部责任都在用户。

本着先解决风险问题的前提,准备提出申诉,先把绑定账户取消掉,然后再去支付宝追究责任。于是开始申诉流程,接下我就遇到如下情况:申诉网站打不开!!!

到此,我就彻底跪了,绝望了,崩塌鸟。

这还是alibaba集团下的支付宝?全国最大的第三方支付公司?太不可思议。

我的实名认证账户在我完全不知情的情况下被绑定了5个非本人账号,而且本人并不知情。在我发现该情况后,作为已实名账户的主账户,还不能对我的实名信息账户进行处理?致电支付宝客服,得到的结果是需要重新上传身份信息。我真的搞不懂,我遇到的问题和重新上传身份信息有什么关系,我的账户已经是实名认证过的主体账户了,为什么还要上传,这能证明什么?我是我么?

另外,这一次我为了删除非授权绑定的子账户上传了身份信息,下次又有账户绑定进来,我是不是还要继续申诉,继续上传,因为支付宝的实名认证子账户绑定根本不需要主账户的任何确认,这是不是支付宝认问题?难道还是我的错咯?

由此,可以看出,支付宝实名认证系统存在着重大漏洞,账户的实名信息绑定不需要已实名认证账户的确权,只要信息一致就直接绑定,在当前没有个人隐私的社会背景下仅靠身份信息就认定账户所属或绑定,难免太儿戏了。

整个事件以支付宝客服中断了我的电话作为结束,而就此搞一段落。

微博主此文发到微博后引起轩然大波,阅读量也突破了600万,支付宝随即做出如下回应:

支付宝实名认证被爆出惊天漏洞 - 第2张  | vicken电商运营

翻译成大白话的意思就是:

1,这是你个人信息被盗,关我毛事。

2,我们风控牛逼,即使被人盗用绑定账户也不影响你的资金安全,所以不提供解绑服务。

3、我们才懒得主动给你主动解决问题,有疑问自己按照我们的流程搞定。

4、我们有钱,你们账户被盗了也没关系,最高100万赔付。

有网友一句话总结支付宝的答复:用户你好,我是你爹。

别的不多说了,赶紧检查一下自己的支付宝实名认证是否被别人绑定吧,就连支付宝客服都说自己的实名认证被别人绑定!!!如果有,立刻走投诉流程,虽然没有什么用,但,这也算是今后法律流程上的必要操作。不要等到你有重大财产损失或是背负了别人的贷款后再去追究,那一切就都晚了。也告知一下周围的家人朋友,保护好自己的财产安全!(文/罗剑锋)



最后编辑:
作者:vicken
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。