新聞源 財富源

2024年11月23日 星期六

非實名用戶侵入他人基金賬戶 翼支付被質疑存漏洞

  • 發佈時間:2016-03-15 20:59:19  來源:法制日報  作者:佚名  責任編輯:孫朋浩

  編者按

  消費在升級,消費者的煩惱也在升級。

  去年11月,國務院辦公廳下發《關於加強金融消費者權益保護工作的指導意見》,這是第一次在中央層面的文件中,明確提出“金融消費者”的概念。意見要求,保障金融消費者財産安全權、知情權、自主選擇權、公平交易權、依法求償權、受教育權、受尊重權和資訊安全權。

  金融消費者是金融市場的重要參與者,也是金融業持續健康發展的推動者。加強金融消費者權益保護工作,是防範和化解金融風險的重要內容,對提升金融消費者信心、維護金融安全與穩定、促進社會公平正義和社會和諧具有積極意義。

  今年的“3·15”專題報道,我們的關注點聚焦在金融消費安全。

  “我在嘉實基金的賬戶突然進不去了!幾經投訴才發現,我留在嘉實基金的對賬郵箱已被篡改!我的基金賬戶已被他人操作!”張龍生(化名)滿臉驚疑地向《法制日報》記者講述他的遭遇。

  “沒有密碼,也能操作你的賬戶?”記者問。

  “通過翼支付!”

  “這不難查清啊。變更嘉實基金對賬郵箱需要驗證身份或通知客戶,註冊翼支付需要身份驗證。這是常識啊。”

  “問題就出在這兒。騙子註冊翼支付的手機號不是實名的,而嘉實基金的系統對翼支付數據是不核實的。”

  一家是大名鼎鼎的嘉實基金,一家是中國電信的支付平臺翼支付,居然讓騙子如此輕而易舉地進入客戶基金賬戶。漏洞何在?

  基金賬戶突遭變更

  3月1日,張龍生突然想起,有段時間沒收到自己購買的嘉實基金的對帳單,便打開嘉實基金官網登錄查看,不想已無法進入自己實名註冊的賬戶。

  張龍生趕緊撥打嘉實基金的客服電話詢問,被告知:該賬戶已於今年1月更換聯繫手機號,並取得高級實名認證,此後的對帳單資訊,已發至用新手機號碼關聯註冊的189郵箱。

  張龍生同時了解到,該手機號碼開通了第三方支付功能——電信翼支付業務,從1月25日至1月29日,通過翼支付連續操作3筆交易,雖然最大一筆金額僅為30元,但足以令張龍生驚出一身冷汗。

  在這份交易明細中,銷售機構顯示為:直銷中心。張龍生隨即致電翼支付客服核實,“直銷中心”確實就是翼支付。客服查詢的結果是:該移動用戶是于2016年1月18日開通的翼支付。

  更令張龍生驚詫不已的是,他在報警後查詢得知,該手機號碼竟然是135開頭的河南鄭州的移動用戶,而且為非實名註冊。不過,因數額較小,警方未予立案。

  心有餘悸的張龍生立即挂失銀行卡並凍結基金。令他不解的是:作為一家國內知名的基金公司,是什麼樣的漏洞,讓這個神秘的電話號碼,輕而易舉地就更改了自己的賬戶資訊並進行交易?

  代銷直聯許可權很大

  3月2日,在北京的嘉實基金辦公大樓,記者隨張龍生一起見到客服部的吳女士。

  翼支付是如何關聯到嘉實基金,並能在嘉實的系統內進行交易呢?吳女士解釋稱:“翼支付屬於嘉實的‘代銷直聯’機構,我們是平臺之間的合作關係。這種關係使得他們的許可權,甚至比作為代銷機構的銀行還要稍大一些。即他們使用嘉實系統,傳來的數據我們只能被動接收。”

  按照這個解釋,只要開通了翼支付,就可以操作嘉實基金賬戶。那麼,騙子何以能操作張龍生的賬戶呢?

  吳女士説:“可能是(騙子)從哪兒得到了張先生的身份證資訊,用張先生的身份資訊開通了翼支付,並關聯了嘉實基金賬戶。”

  張龍生似有所悟:“因為翼支付傳到嘉實基金的數據,嘉實基金不再核實,導致騙子很容易變更了對帳單郵箱。我的賬戶資訊就這樣洩露了。”

  吳女士寬慰張龍生説:“他即便看到您的基金賬戶資料,也只是交易資訊。但看不到密碼,看不到其他資訊。”

  騙子曾在5天內連續利用張龍生的賬戶進行3筆小額交易,動機是什麼?張龍生説:“我推測他是想先激活我的賬戶,再通過我的身份證資訊,利用翼支付平臺,把我的銀行卡換掉,最終達到將我賬戶裏的資金轉走的目的。”

  既然嘉實基金對翼支付傳過來的數據“被動接收”,那麼,風險把關的源頭就只能靠翼支付了。一個非實名的手機號碼是怎樣在翼支付註冊成功的?

  手機號碼隨意註冊

  張龍生從翼支付客服中心了解到,移動、聯通、電信手機號碼都可以開通翼支付賬戶。只不過,電信號碼享受的優惠有所不同。翼支付用戶分為非實名認證和實名認證兩種。前者只要有一個手機號碼就可以。

  記者隨後採訪了天翼電子商務有限公司(即翼支付)監管法律部相關負責人。

  這名負責人介紹説:“不實名認證用戶,既沒有關聯銀行卡,也沒有關聯身份證。用戶可以充值,也可以把錢取出來,只有這一個功能,而且額度很小,也就幾百元錢。高級實名認證用戶才可以關聯基金賬戶。關聯過程中,需要驗證銀行卡資訊、銀行卡密碼以及身份證資訊。手機在用戶手上,他可以收到驗證碼。”

  按照這個解釋,能夠與張龍生基金賬戶綁定的翼支付,一定是經過多重驗證的。翼支付法律部這名負責人反問:“有了如此嚴密的驗證,憑什麼要求支付平臺負責任?負不法分子盜竊身份證資訊、銀行卡密碼的責任?也就是説,用戶沒有保護好自己的銀行卡密碼,與平臺有關係嗎?嘉實基金這個用戶的遭遇,是很典型的用戶身份資訊洩露造成的。被盜刷並非是翼支付一家遇到的問題,而是不斷發展中的整個網際網路金融業都必須面臨的挑戰。”

  對於這種解釋,張龍生並不認賬:“非實名的手機號碼成功註冊了翼支付,但是如何取得了高級用戶認證的,作為管理方應該有核實的義務。如果大家都用盜用的身份資訊開通,還有安全可言嗎?”

  翼支付盜刷維權群

  同樣質疑翼支付的,顯然不止張龍生一個人。

  記者調查得知,QQ上有一個“翼支付被盜維權群”,群內成員達400多人。

  這些“被翼支付盜刷”者中,損失少則幾十元、數百元,多則上萬元。網友木木便是其中之一,也是損失最為慘重的——總計達35100元。

  來自四川成都的木木告訴記者,從今年2月16日到22日,他的銀行卡被盜刷11筆,分別涉及光大、招商、農業3家銀行。

  光大、招商兩張銀行卡被盜刷後,木木趕緊把款轉到3個月前才開通農行卡上,因為這張卡網銀、手機銀行等功能都沒有開通。

  可萬萬沒想到,木木3月5日去農行取錢時發現,農行卡再次被盜刷。他並沒有翼支付賬戶,但是經查詢,錢都是翼支付劃出去的,最終去向都是一家名為“浙江開心果網路科技有限公司”的企業。這家公司給出的解釋是遊戲充值,並且給了他一個充值的手機號,但那個號碼一直處於關機狀態。

  發稿前,張龍生給記者打來電話説,那個讓他心驚膽寒的非實名手機號碼註冊的翼支付賬戶,已在3月8日被翼支付平臺登出了。但該賬戶何以通過高級實名身份驗證、賬戶如何開通並關聯到嘉實基金等疑問,都沒有得到翼支付的答覆。

熱圖一覽

  • 股票名稱 最新價 漲跌幅