四、支付宝在安全方面存在漏洞?
前几天,媒体上突然出现一系列针对支付宝,余额宝这不安全,那不安全的各类系统性传播,不管你如何辟谣,不管你如何证明你比传统银行安全十倍以上,并且保证有问题全额赔偿。
——马云,2014春节微信红包“偷袭珍珠港”后
这个话题从支付宝推出就一直不绝于耳,有部分网站甚至央视都曝光过支付宝找回密码的漏洞,据某些安全从业人士表示,央视报道的这个逻辑漏洞确实存在过,但是很快就被修复了,而在漏洞爆出没多久就立刻被炒的沸沸扬扬,应该是有其他第三方支付在背后推动。除此之外,支付宝公开正式承认的技术漏洞也有几起,但是基本都快速修复了,从这方面来看,支付宝在安全方面的努力是值得肯定的。
但是,支付宝的安全体系并不是毫无问题。这个体系是建立在银行及电信运营商安全体系基础上的。目前所暴露出来的风险点大部分只是支付宝自身安全体系出现的风险,其与银行、电信运营商安全体系对接之间的问题也仅仅是初步显现。
首先,支付宝不可能对每个客户进行实际验证。支付宝没有实体网点,不可能做到“本人持证件输入密码”这一在银行及电信运营商安全体系内经常应用的验证方式。因此,支付宝的验证方式几乎都是由客户主动上传相应证据与银行方核对,核对相同则认为验证通过。换句话来说,支付宝默认银行安全级别是等于或者高于其自身的,更谈不上“安全十倍以上”,而这也与央行将第三方支付账户认定为弱实名账户相对应。
其次,支付宝用于验证的资料在银行及电信运营商安全体系内未必是关键安全信息。如上文所说,银行卡预留手机号对银行并非关键信息,通过验证一次短信验证码就确认为其开通长期免确认支付,这明显违反了安全体系中高安全级所对应的高权限才能为低安全级授权的基本原则。目前,部分银行已经被迫在新开户时对客户确认预留手机为本人使用,但这是支付宝对银行的风险绑架,而不是支付宝为其自身违反安全基本原则开脱的理由。
第三,支付宝的安全体系并未与电信运营商达成相关协议。手机号本身是电信运营商为其客户提供的通讯服务,并不作为安全手段使用,如果说非要运营商负责资金风险的话,那也是对客户的话费余额负责。但支付宝的安全体系在没有与电信运营商达成协议的情况下,使用手机号作为安全验证的方式,这使得手机号在运营商不知情的情况下,与银行卡内的资金产生了联系。由于一般情况下手机话费相对封闭,在强制手机实名之前运营商并没有很大动力对客户证件真伪进行验证,这使得支付宝整个安全体系的地基并不稳定。
支付宝其实很清楚他自身存在的这些问题,因此喊出了“你敢付我敢赔”的口号,并对接了保险公司。在实际执行中,在受害者报警并获得确认后一般都可获得赔偿,但是由于假被盗的事件较多,支付宝的判断一般较为小心,有不少未得到赔付的案例,有些得到赔付的案例也被劝说建议关闭渠道并被告知仅赔付这一次,实际得到赔付的时间也比较长。
而支付宝之所以在明知道存在问题的情况下,还继续维持下去,这是由于互联网公司的风险控制思路造成的。传统银行是风险厌恶型,在风险控制与安全便捷中宁可选择风险控制,这也造成了传统银行的电子渠道在开发早期极为难用,直到近几年经验丰富后才有所好转,但依然尚有不足之处。而互联网公司奉行的是收益覆盖风险原则,且将用户体验置于风险之上,在二者相冲突时,只要风险在可接受范围内,就会选择用户体验。两种不同的组织架构,不同的风险思路,才会造成双方完全不同的使用体验以及风险防控级别。在互联网公司大举进军金融的时代,双方必须互相学习,才能够创造出用户体验更好,安全级别更高的交易环境。
我来说两句排行榜