close

警惕!你的信用卡可能出現在別人支付寶中



創業項目頻道上線 你有項目來A5招商吧

最近接到爆料,傢住西安的拜女士稱自己的信用卡通過支付寶賬戶被人盜刷瞭500多元, 做案者 李女士卻主動聯系她,稱其在淘寶購物時,通過支付寶刷瞭一張別人的卡, 做案者 自己也在納悶,用自己的支付寶密碼怎麼就能刷別人的信用卡呢?

億邦動力網編輯在隨後的試驗中,用自己的手機號註冊淘寶,在經歷瞭一系列通過手機號提示改密碼的過程後,登錄進淘寶,卻發現從收貨地址到購買記錄裡都可以看到,該淘寶賬號歸另一個人所有。

手機號的二次流通 引發阿裡賬戶問題

爆料人拜女士對億邦動力網稱,收到銀行通知信用卡被刷的短信後,她與銀行核實後,確認卡裡的錢是通過支付寶消費的。很少使用支付寶的她於是下載瞭支付寶的APP,在賬單一欄,她發現瞭來自廣州的李女士的消費記錄。

拜女士回憶,她曾在美團購物時使用過該信用卡,但是否綁定過支付寶已無法記清。

同一時間,身在廣州的李女士在淘寶購物時發現,自己隨淘寶賬號綁定的支付寶賬戶裡多出瞭一張信用卡,而自己用另一個支付寶的密碼居然可以完成支付。(詳情見下圖)

經過查找信用卡實際擁有人,李女士聯系到拜女士,發現瞭兩人之間的 緣分 拜女士現在使用的手機號,剛好是李女士曾經使用、後來被運營商註銷的號碼。而李女士也曾經用該號碼註冊瞭出現瞭上述問題的支付寶賬戶。

二人由此懷疑,是因為前後使用瞭同一個手機號導致支付寶賬戶出現瞭問題。

更神奇的是,當億邦動力網編輯用自己的手機號(此手機號為近期購買,之前可能曾被人使用過)試圖進行類似驗證時,的確也遭遇瞭類似情況 不同的是,此號碼雖然不能直接登錄別人的支付寶,但在登錄淘寶時(此號碼之前未註冊過淘寶),卻發現可以直接登錄,而且是一個陌生人的淘寶賬號。



進入一個陌生人淘寶賬戶(為保護當事人,賬號已隱藏)在該賬號裡,億邦動力網編輯可以看到一個陌生人的收貨地址、購買記錄、甚至一個完全陌生的支付寶賬號。點擊該賬號,發現該賬號歸一位名為 X晨 的人士所有,該賬號綁定瞭尾號為4894的中國工商銀行儲蓄卡, X晨 的手機號XXXXXXX5929也顯示無疑。(為保護當事人,當事人姓名以及所用手機號均未完全顯示。)



在X晨支付寶賬戶裡能看到他綁定的銀行卡(為保護當事人,部分證據已隱藏)

億邦動力網通過該支付寶賬號綁定的手機號XXXXXXX5929,聯系到瞭該支付寶賬戶所有者X晨,不出意料, X晨 稱其幾年前所用的手機號,恰恰就是億邦動力網編輯現在所用的手機號。在幾年前,他已經註銷瞭該手機號。

至此,億邦動力網通過兩個看似不可能的巧合,完成瞭一個實際可以發生的事實的驗證:如果一個手機號存在過註銷後再流通、而該號碼曾經綁定過支付寶賬號或淘寶賬號的情況,那麼,則有可能出現一種情況,即在特定情況下,兩個用戶有可能在某種程度上 共享 同一個支付寶賬號或淘寶賬號。

支付寶復盤:一系列巧合,使賬戶信息被神奇 補全

億邦動力網就此事聯系到支付寶相關負責人,經過查證,支付寶為億邦動力網復原瞭二人的交易過程(如下圖)。



支付寶強調,造成該賬戶出現 詭異問題 的原因主要有3點:

1、 運營商收回手機號後又重新發放,李女士在放棄原手機號使用後沒有及時和支付寶賬戶解除綁定;

2、李女士一直未將自己的支付寶賬戶補充完整,整個賬戶隻有一個能識別的手機號;

3、拜女士在美團通過支付寶綁定信用卡時隻需通過手機短信驗證即可完成綁卡並支付,並未像一般支付過程中需要填寫支付寶密碼,因此,該支付寶賬戶的密碼實際是空缺的。在這種情況下,廣州的李女士則實際上可以用任何密碼都可以完成支付,相當於對支付寶賬戶的密碼補全。

支付寶:無法從源頭堵住相關漏洞

對於如何處理此類事件,支付寶相關負責人回應稱:

首先,目前開設支付寶賬戶必須提供身份證號碼,實名制早已開始實施,可以為避免此類事件發生再加一道保險。(而上述事件中的支付寶賬號,是在多年前未實施實名制時註冊的)

其次,支付寶有對此類事件的賠付機制,如果是因為系統認證的錯誤,支付寶可以提供相應的全額賠付。

但該人士也表示,支付寶現在 無法完全避免 類似事件再度發生,這一由於當年尚未強制實名認證而留下的歷史問題,或許還需要一些時間來解決。

而對於億邦動力網編輯可以登錄陌生人賬戶一事,淘寶相關負責人表示,這同樣是由於手機運營商收回手機號後重新發放,原手機號主人沒有解除和淘寶賬號的綁定所致。 理論上,淘寶沒有辦法知道運營商是否重新發放瞭手機號,從淘寶 以手機號作為進入ID的用戶認證邏輯 來說,難以絕對避免這種小概率事件的發生。

在上述案例中,李女士最終將誤刷的500元貨款退還給各軍營單位抽肥拜女士。支付寶表示,該賬號將歸拜女士所有,李女士則將解除與該賬號的綁定。而如果拜女士放棄該賬號,則該賬號將被永久封存。

業內人士:賬戶驗證手段亟需加強

一位支付行業資深人士對億邦動力網稱,此事的根源在於運營商收回手機號後重新發放後,銀行、第三方支付與運營商互相之間數據不通, 這類事件將防不勝防。

億邦動力網為此電話咨詢瞭某電信運營商的客服人員,其表示,通常情況下,用戶手機號欠費達4個月,就會被自動註銷。註銷時,運營商並不會專門提醒用戶解除某些 特別的綁定 。一般情況下,手機號在註銷半年後,就會重新出現在選號系統之中。

錢包金服董事長趙國棟對億邦動力網表示,支付寶補全用戶信息時的驗證手段過於缺乏,不應該隻根據手機號做賬戶的唯一關聯識別。 他表示,為避免此類事件發生,以後不管在註冊和消費時,對賬戶的驗證手段都需要加強,多一些驗證手段也符合央行最新頒佈的第三方支付管理辦法中表達的精神。

據瞭解,央行於上月頒佈的《非銀行支付機構網絡支付業務管理辦法(征台中化糞池清理求意見稿)》中明確表示,綜合賬戶的開立需要包括面對面在內的至少5種方式交叉驗證身份,而消費賬戶也需要至少3種方式進行交叉驗證後才能開立。

同一源律師事務所律師尚競向億邦動力網住宅化糞池清理表示,在任何情況下,如果某人誤刷瞭他人銀行卡,在法律上都構成瞭對原卡主的不當得利, 誤刷者都應及時聯系卡主人以及支付寶,第一時間將誤刷的款項返還。

針對這一事件,尚競認為,從法律角度來講,支付寶賬戶餘額、淘寶網店等虛擬財物已經被界定為私人財產,國傢從立法層面應該敦促平臺強化對此類財產的監管;另一方面,用戶也需要更加謹慎和仔細地維護此類財產的安全。

【對消費者的3點提示】

1、 當消費者需要更換手機號時,要及時將該手機號與具備支付功能的相關電商平臺、支付賬號等解綁。

2、 註冊支付寶、淘寶等平臺賬號時 一定要讓信息設置完整,使弱信息賬號變成強信息賬號,以便平臺識別賬戶信息。

3、通過類似美團、大眾點評等平臺使用第三方支付完成支付並綁定銀行卡後,要重新登錄第三方支付進行驗證並補全信息。

台灣電動床工廠 電動床

台灣電動床工廠 電動床

AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋

AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots

arrow
arrow
    創作者介紹
    創作者 fvb979rt91 的頭像
    fvb979rt91

    小瑩的網購清單

    fvb979rt91 發表在 痞客邦 留言(0) 人氣()