第三方支付安全問題頻現 加強監管刻不容緩
- 發佈時間:2016-03-17 19:47:00 來源:中國廣播網 責任編輯:畢曉娟
2016年才過了不到四分之一,有關第三方支付安全問題的報道就已層出不窮。第三方支付平臺無牌照經營、支付渠道把關隨意、支付系統安全漏洞頻現等,給違法犯罪分子以可趁之機,欺詐行為花樣百齣。
在民眾對快捷支付需求與日俱增的背景下,第三方支付平臺如雨後春筍般涌現。但作為新生事物的第三方支付市場初具雛形,現有的平臺實力參差不齊、信譽更是無法得到保障。部分第三方支付平臺在自身潛質不具備的情況下,甚至從單純提供支付服務延伸至資産管理、理財等領域。
在此嚴峻形勢下,加強對第三方支付監管的呼聲越來越大。以下是記者整理的今年近三個月以來,第三方支付遭投訴的相關案例,由此可見一斑。
支付寶“補借條”,存在産生虛假借條風險
據中新網1月11日報道,福建建甌的徐先生在網上向陌生人借款,錢沒借到,卻産生了15000元的借條,從而背上了15000元的“債務”。當他想通過支付寶還上自己的信用卡借款時,卻被支付寶強制扣款還給對方。
徐先生根本沒有收到對方的借款,支付寶也體現不到資金流向,為何還要扣款?支付寶客服對此解釋稱,這屬於“補借條”,借款不需經過支付寶平臺,但支付寶會認定“借條”系統産生的“借條”,至於“借條”是怎麼産生的他們不管。
(注:支付寶借條平臺分為“借條”和“補借條”兩種。“借條”通過支付寶轉借款給對方,而“補借條”則是雙方私下交易,支付寶上體現不到現金流。另外,“補借條”僅限于支付寶好友之間,如果雙方不是好友便不可實現。)
經警方調查,犯罪分子在騙取徐先生支付寶的賬號和密碼後,利用支付寶新推出服務平臺的漏洞,産生虛假的“借條”,借助支付寶的規則騙取錢財。
烏雲平臺爆出多家支付公司存在漏洞
1月18日到25日短短一週內,烏雲平臺(注:廠商和安全研究者之間的安全問題反饋平臺,為電腦廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。)密集爆出多家支付機構支付安全存在漏洞,這些漏洞主要涉及用戶數據、充值卡密、交易流水洩露等問題,並得到這些支付公司的確認。
1月18日,烏雲“路人甲”曝光了開聯通網路技術服務有限公司存在某業務系統漏洞導致Getshell(涉及大量用戶數據/近兩千萬的充值卡密等)。
1月19日,烏雲平臺稱銀盈通支付有限公司多站漏洞導致各種用戶數據存在洩露風險。同日,普天銀通支付有限公司WWW主站Getshell(涉及大量商戶資訊/大量交易流水/內部民生銀行代付介面)存在漏洞。
1月25日,首信易支付也被爆出支付安全系統存在問題。其多站漏洞SQL注入、後臺管理弱密碼以及PMA未授權訪問等漏洞也極易引發支付風險。
通聯支付涉嫌pos機收單業務違規,遭多名商戶實名舉報
2月21日,通聯支付遭多名商戶實名舉報。舉報原因是,商戶投訴從代理商手中購買的通聯支付POS機,在使用一段時間後資金無法到賬,被代理商卷款420多萬元跑路。調查後發現,未到賬款項是由於通聯支付代理商勤豐華能實際控制人鮑作健,將商戶資金轉移到個人賬戶。
儘管通聯支付認為勤豐華能係特約商戶,其違法違規卷跑商戶資金與公司無關。不過,這一説法卻未能得到商戶們的認同。同時,商戶們還詳盡地羅列出對通聯支付質疑點,主要包括通聯支付作為收單機構未履行相應責任,存在違規發展商戶、違規售賣POS機終端,隱匿數據逃避監管,隱瞞重大風險事件等。
此外,商戶們表示此次卷款跑路之人以前是有過犯罪記錄,通聯支付沒有切實履行對特約商戶的風險資訊進行查詢而貿然開通支付通道,進而為此次事件埋下隱患。
根據《銀行卡收單業務管理辦法》,商戶及其法定代表人或負責人在中國人民銀行指定的風險資訊管理系統中存在不良資訊的,收單機構應當謹慎或拒絕為該商戶提供銀行卡收單服務。
無第三方支付牌照,美團涉嫌開展資金支付結算業務
據財新網2月29日報道,當天微網志實名認證為律師熊萬里的用戶@熊大律師發佈微網志稱,其本人已向央行等監管部門實名舉報,美團在沒有第三方支付牌照的情況下,卻從事第三方支付結算業務,已經違反了《非金融機構支付服務管理辦法》,甚至涉嫌構成非法經營罪。
財新記者調查後發現,美團在團購、充值購買、優惠買單三項業務中,均需經歷“用戶支付-美團網-商家”這一資金流向的過程,美團網實際上在交易雙方之間進行了資金轉移行為。美團在未取得支付牌照的情況下,涉嫌違法開展資金支付結算業務。
支付寶被盜刷25000元,支付寶官微致歉
2月28日,網友@聶小剛 在微網志發佈長文《我用十天追回支付寶盜刷款25000元的奇葩經歷》,講述了自己支付寶被盜刷而又重新追回的詳細過程。文章發佈之後立刻引起網友熱議,文章閱讀超過285萬。隨後包括中國青年網在內的多家媒體對此事件進行了報道。
支付寶官方在3月12日,發佈長微網志,對此事進行了回應,稱該用戶在轉贈手機時,曾將自己的開機密碼和錘子手機的雲賬戶密碼告訴給了買家,從而導致盜用者利用這些資訊破解了支付寶賬戶。但對於該用戶賬戶在被他人操作時,未收到手機提醒一事,支付寶承認是由於自己沒有及時檢測到這個風險導致。