冷冻机厂家
免费服务热线

Free service

hotline

010-00000000
冷冻机厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

实名认证惊天漏洞背后支付宝搞错了甚么

发布时间:2020-03-23 13:35:45 阅读: 来源:冷冻机厂家

本周四,有支付宝用户突然发现自己的支付宝账号突然多了五个绑定账号,而这些账号都没有经过他本人的认证。换句话说,他是在完全不知情的情况下,其支付宝账户下就多了5个绑定账户,而他本人也没有收到任何情势的通知消息,包括短信、邮件、或登录后的站内信息。

这位用户的晒图以下:

用户在电话咨询支付宝客服后发现解绑较为困难,屡次沟通无效后,该用户将整个过程发布到网上,随后支付宝针对此次事件作出了澄清。很多用户对支付宝的澄清表示不满,引发了人们的广泛关注。

而实名认证的账户之所以让用户如此担心的缘由还有一个,就是贷款也是在实名信息名下的,那末攻击者可以用这些账户来贷款借钱?是不是也意味着,他人可以轻易借壳于你的身份来贷款,而终究却由你来还钱?

此次事件的真相和具体技术细节,其实阿里的各位同仁,特别是支付宝的安全团队,会更加清楚,我过去和他们有过一些沟通,他们在技术上颇有自己的独到之处。面向数亿普通用户的金融产品,如何平衡易用性和安全性,如何做好风险监管,相信他们会更有发言权。

但本次事件究竟是如何从一个孤立事件变成了现在的轩然大波,全部处理进程当中有没有值得改进的地方?我想从风险管理的角度谈谈自己的看法。

我们知道阿里巴巴是一家科技公司,但是支付宝,则是一家互联网金融公司,虽然使用了大量的IT技术,却不能改变它是一家以支付、借贷、投资管理、信誉管理等业务为核心的现代金融公司,IT技术只是承载金融业务的工具和平台。本次事件,是不是有支付宝的某些部门对这个定位认识不清,从而造成现在后果的可能性呢?

请先让我们来回顾下历史,由于历史总是惊人的类似。

大概在10多年前,传统的金融行业经历了与今天支付宝事件类似的情况:很多金融从业人员利用职务之便,使用第三方人员的身份信息,大量申请办理信用卡,轻则套取新办卡每张数十到上百元的补贴,重则进行歹意透支套现,给银行带来了重大损失,而信息被盗取者也遇到了很多麻烦。

之所以会出现这种情况,是由于当时信用卡业务的发展尚处于蛮横生长期,各家银行均把圈地发展用户数作为了重要目标,一时之间卡片漫天,乃至出现过一个普通的工薪收入者手上有五六张不同信用卡的情况。

为了给发展用户提供便利,很多银行都下降了申请门坎,可以没有良好的信誉记录、可以不需要本人在场、可以不斟酌还款能力等等,为后来的各种信用卡违规犯法开启了方便之门。

而这与如今互联网金融强势突起的情况何其类似:

由于互联网金融的突起,各家公司为了扩大用户数,提高交易金额,纷纭下降门坎,申请进程更容易、使用更容易,注销更困难、解绑更困难,一切都是为了快速扩大服务。

就本次事件来看,支付宝,或说最少是支付宝的某个历史版本,存在着用户身份验证不完全便可绑定账号的潜伏风险。这也许是为了提高产品使用体验而作出的让步,或是某个历史版本的安全漏洞。用户方也必定存在某种忽视(比如个人信息泄漏,或账号密码/邮箱泄漏)才有可能致使这个结果。

作为一家技术公司,固然可以说产品不可能没有安全漏洞,而且也可以清晰地通过找到用户方的责任来对后果进行免责。但是作为一家金融公司,特别是创新型的金融公司,首先要斟酌的则是用户的安全体验对新业务推行的正面和负面作用。

新业务的推行需要改变用户的使用习惯,并且克服用户对新技术的恐惧,而信息安全问题恰好是其中会起到关键作用的一个点,不解决用户对信息安全的耽忧,新业务就很难大规模的推行。上个世纪美国的银行为了推行信用卡所采取的各种安全保障措施就是一个很好的例子。

而在用户投诉阶段,客服人员是不是清楚现有产品和历史产品的安全问题?是不是能够通过有效的沟通抚慰用户的情绪,并且及时地协助用户解决问题?

互联网金融的优势是采取互联网技术能够同时地服务海量的用户,但是在风险管理和用户体验管理上,仅凭自动化的机器,有时是不能满足用户需求的。如果用户的满意度下落,前期辛辛苦苦发展来的用户群就会逐步流失。

而互联网的特性又使得负面情绪和事件会被无穷放大,从而引入了商誉风险,一旦危机公关措施不当,商誉风险的损失将远超过技术风险。

本次事件中,支付宝的危机公关团队虽然响应及时,但是却未能有效地抚慰用户的情绪,也未能消除用户对安全问题的疑虑,反而留下了撇清推卸责任的印象,全部沟通进程和方法是不是过于以自我为中心?并未能考虑到用户的体验和心理接受程度?这些都是值得我们沉思和引以为鉴的。

从监管角度来讲,监管措施常常是落后于金融业务创新的。

新兴的互联网金融恰好处于金融监管的灰色地带,现有的监管措施并不能有效地防范互联网金融的风险,这方面对监管机构尽快拿出新的风控措施提出了挑战。同时也更加要求行业龙头担当起责任,为全部产业的健康有序发展作出更大的贡献。

从个人角度来讲,应注意以下几点:

1、使用互联网金融产品时要对可能面临的信息安全风险有着充分的认识,对自己的风险承当能力也有着足够的了解。

2、应当要保护好自己的个人隐私,使用手机拍摄证件时要注意关闭云备份,使用完要及时删除,也不要随意将证件照上传到不可信的网站。

3、尽量使用复杂密码,定期更换密码,使用两重认证(例如USB KEY)。

4、尽量使用专用设备进行金融操作,而不是与平时上网或游戏的装备混用,特别尽可能不要把密保手机用来直接进行交易。用来进行金融操作的手机不要安装非官方的运用。

5、遇到安全问题以后不要恐慌,及时有效地与官方沟通,创新业务的一个好处就是为了确保业务的顺利推行,前期厂商常常会对用户的风险进行兜底,所以良好有效的沟通后,实际损失并不会太严重。如果金额巨大,可以及时取证公证、并向监管机构或消费者协会和媒体进行投诉。

总的来说,其实支付宝本身安全性挺高,并没有甚么问题,主要还是在于用户的使用环境。固然,此次用户个人信息被盗,而支付宝没有谢绝用被盗信息注册的多个账户,目前虽然并不会产生严重后果,但是金融的风险监管问题不容忽视。希望本文能够引发对金融产品安全问题的注意。

武汉职业病医院排名

海口肤康医院怎么样

北京整形外科医院排名

武汉抗白白癜风医院怎么样