支付寶快捷支付存安全漏洞 記者5分鐘盜刷2萬

　　8月21日，記者使用同事的手機成功進行身份驗証，獲取驗証碼。 實習記者 唐俊 攝

　　開通快捷支付？小心安全漏洞！

　　密碼可輕易破解，卡內資金瞬間流失

　　記者實驗：5分鐘可“盜刷”2萬元 專家觀點：網絡支付驗証平台要注意保密

　　“無需網銀，隻需關聯您的信用卡或借記卡，每次付款時隻需輸入支付寶支付密碼即可完成付款……”這是支付寶快捷支付的宣傳廣告語。快捷支付在給市民帶來方便的同時，也給市民帶來了安全的困擾，部分使用支付寶“快捷功能”的客戶遭遇網絡盜刷，與支付寶綁定的銀行卡資金被“螞蟻搬家”。支付寶在自己的網頁上還列出了近期因為被盜刷而理賠的案例，最大一筆資金達到9492.24元。

　　記者根據網上的一些提示，對快捷支付手段做了一次安全實驗，發現了一些值得注意的安全漏洞。

　　實驗：“撿到”手機后，五分鐘內盜刷2萬元

　　為了驗証網上流傳的“快捷支付存在安全問題”是否真實，記者做了一個實驗，模擬在“撿到”一部手機之后，如何破解密碼並刷取卡內資金。首先，記者拿起同事的一部手機，當然前提是這部手機已經綁定了支付寶快捷支付，並且假設記者並不知道該同事的其他信息。下面是記者的實驗過程：

　　第一步：記者打開支付寶的登入界面，在賬戶名一欄記者看到輸入手機號碼或郵箱地址的提示，而這兩個信息拿到手機的人都會知道，記者點擊旁邊的忘記登錄密碼，並嘗試這個手機的號碼或手機裡面的QQ郵箱是否已注冊支付寶賬號，記者嘗試后知道，這個手機的號碼就是支付寶的賬號。

　　第二步：接下來是輸入手機驗証碼，當你點擊發送手機驗証碼時，會有一組六位數字的驗証碼發到這個手機上，這時隻要你輸入這組數字，就可以進入更改密碼的界面，記者由此完成對密碼的修改。

　　第三步：知道支付寶賬號和密碼后，記者登入這個賬號的支付寶界面，在賬戶管理的界面裡，記者可以看到這個賬號上面的余額，還能看到這個賬號綁定了中國銀行卡。記者同樣運用找回密碼這一功能，用這個手機接到的驗証碼將綁定的銀行卡快捷支付密碼更換。

　　第四步：記者接下來通過快捷支付轉賬，輸入新的支付密碼后，成功轉出中國銀行規定的最高額度兩萬元。記者看了一下時間，從開始操作修改密碼到完成轉賬，記者隻用了5分鐘時間。

　　隨后，記者又讓同事修改銀行卡密碼。但是記者發現銀行卡密碼被修改后，支付寶賬戶綁定的銀行卡付款操作並未受到任何影響。這意味著，開通快捷支付后，萬一手機被盜，綁定的銀行卡很容易遭到盜刷，即使用戶修改了銀行卡的密碼也無法阻止盜刷。

　　問題在哪: 身份驗証平台是關鍵

　　完成這些后，記者也覺得不可思議，資金的安全鑰匙如此輕易地被一一破解，到底問題出在哪裡？

　　在實驗過程中，記者也發現，這次實驗的成功也存在偶然性，第一是手機的主人就用手機號碼作為支付寶的賬號，讓后面的密碼尋找成了可能。第二就是手機的主人並沒有添加支付寶的付費保障手段。所以記者才能用一個手機就能破解手機主人的支付寶賬號密碼和綁定的銀行卡賬號支付密碼。

　　記者就這一現象請教了中國銀行湖南省分行電子銀行部門的一位專家，他告訴記者，目前金融已經進入網絡時代，各種網絡支付手段都會使用到移動驗証或郵箱驗証，上面出現這樣的情況就是因為手機這個驗証平台出現了問題，並且手機主人使用手機號碼作為了支付寶賬號，所以才造成了資金賬號的安全問題。

　　支付寶回應：在同一局域網內確實存在被盜刷風險

　　對於此事記者打電話咨詢了支付寶的工作人員，支付寶公關部的相關人士並沒有否認記者所做實驗的真實性，只是一味強調支付寶沒有安全漏洞。

　　支付寶公關部的相關人士認為，記者的實驗設定在特殊環境內，如果實驗不在同一局域網絡內操作，就不會出現這種情況。她表示，“目前基於支付寶智能風險管理系統的保護，消費者在通過手機方式找回賬戶密碼時，系統會根據賬戶當前操作環境的安全等級判斷，給出不同的解決方案。一旦系統檢測到安全風險，則需要手機驗証碼、身份証號碼等多重信息的驗証。因而如是單純的手機丟失，則造成支付寶賬戶資金被盜的可能性極小。”

　　對於記者提出的由熟人短暫借用或者佔用手機后，在手機主人平時操作的局域網絡內進行操作造成的安全問題，支付寶公關部的這位人士則強調這是一個道德風險問題。“這是一個道德問題，如果出現這種情況，出現損失的支付寶用戶應該在第一時間報警。”該相關人士表示。

　　提醒

　　驗証平台要保密

　　有問題應凍結支付寶

　　專家表示，網絡金融時代，搞清楚這些金融支付手段非常重要，如果沒有安全防備心理，很容易出現安全漏洞，給人以可乘之機。在使用網絡金融平台時，可從以下幾個方面進行防范：

　　在平時登錄支付寶時，取消“記住用戶名”、“十天內自動登錄”等設置。

　　選擇隻有自己知道的郵箱作第三方認証通道。網絡金融時代除了密碼之外，有一個認証渠道很重要，修改密碼這樣的操作都會經過這個平台進行認証，所以建議選擇一個隱蔽的隻有自己知道的認証平台，比如，市民可以選用隻有自己知道的郵箱作為認証渠道，而這個平台也會起到像密碼一樣的保護作用。

　　設定消費限額。銀行業內人士指出，持卡人最好對綁定快捷支付的銀行卡進行限額設定，這樣可以避免更大的損失。

　　如果遺失手機，出現安全隱患后，又該如何處理呢？中行專家表示，這時候修改銀行卡密碼是不行的，這時候最先要做的是打電話給支付寶客服，凍結自己的支付寶賬號，然后凍結支付寶綁定的各銀行卡的賬號，還需對自己的手機號碼進行挂失，防止其他綁定手機的業務出現安全問題。