Quantcast

支付寳實名認證的驚天漏洞(組圖)

2015-10-12 08:21 作者:F9y4ng 桌面版 简体 0
    小字

【看中國2015年10月12日訊】支付寳實名認證的驚天漏洞,還原整個事件過程,以及支付寳客服的處理手段,懇請各大媒體給予幫助

本週四,登陸支付寳後無意間打開支付寳實名認證頁面,發現如下情況:

2015/10/11/20151011201911866.jpg

我的實名認證信息下多出了5個未知賬戶。作為賬戶主體,我完全不知道是在什麼時間,就有了這5個綁定賬戶,我也完全沒收到任何形式的確認或是告知信息,通知告知我,我的實名認證賬戶下綁定了以上5個賬戶。是的,你沒看錯,不論是簡訊、郵件、或者是登陸後的站內信息都沒有。如果不是當時偶然的機會點到實名認證的鏈接,我可能一輩子也不知道自己的主賬戶下綁定如此多不屬於我個人的子賬戶。

那麼實名認證的賬戶都能幹什麼呢?

2015/10/11/20151011201911442.jpg

沒錯,貸款也是放到你的實名信息名下的。別人拿的身份貸款,你來還。

於是乎,當機立斷聯繫支付寳客服,反映相關情況,支付寳客服線上客服給出了以下答覆:

2015/10/11/20151011201911718.jpg

跟線上客服溝通過之後,我徹底跪了,不能解綁?還在研究?!

立刻,馬上電話95188,連續語音導航N次,在等待了漫長的十分鐘時間後,終於接通了人工客服,立刻反映情況,客服連續轉了N個主管和領導,最後告知我,支付寳賬戶被別人綁定了子賬戶,你需要申訴解除綁定,而且責任不在於支付寳。

當時我就傻B了,責任不支付寳?那就是在我咯?問題來了:

1、 支付寳的實名認證,我在2010年就完成了身份證信息,銀行卡信息的認證,為什麼別人還能附加在我已經認證過的信息下?

2、 實名認證的子賬戶綁定流程是否存在嚴重的漏洞?任何人只要偽造某人的身份信息,只要提交的認證材料和已實名賬戶的信息一致就可以直接附加子賬戶,不需要原有實名賬戶的確認?

3、當我的實名賬戶被綁定了其他子賬戶時,為什麼沒有收到任何形式的確權信息,註冊過的手機、郵件、已經主賬戶登錄支付寳後的站內信都沒有任何形式的提示?不確權就隨意附加賬戶到別人的實名認證賬戶下是不是流氓行為?

4、我作為實名認證的主賬戶,為什麼不能刪除已授權子賬戶,並禁止賬戶綁定功能?支付寳是不是在刻意製造漏洞?

帶著以上問題,我在週四當天晚上提交了支付寳的報案信息,於今天早上9:23分,接到支付寳客服中心某程姓客服的電話,電話一接通就是要求我重新上傳身份證,根本不回答我的疑問。及其明確的表示,

第一,支付寳的實名認證綁定流程不需要已實名認證賬戶的確認,也不需要登陸已實名認證賬戶,只要申請者提交身份信息和已認證賬戶一致就默認通過認證綁定;

第二,支付寳實名賬戶綁定功能沒有簡訊、郵件、站內通知等形式的實時通知,需要用戶自己登陸支付寳查看實名賬戶綁定情況;

第三,想刪除子賬戶,你就必須申訴,並重新上傳身份證;

第四,這件事情上,支付寳沒有一點責任,全部責任都在用戶。

本著先解決風險問題的前提,準備提出申訴,先把綁定賬戶取消掉,然後再去支付寳追究責任。於是開始申訴流程,接下我就遇到如下情況:

2015/10/11/20151011201911459.jpg

到此,我就徹底跪了,絕望了,崩塌鳥。

這還是alibaba集團下的支付寳?全國最大的第三方支付公司?太不可思議。

我的實名認證賬戶在我完全不知情的情況下被綁定了5個非本人賬號,而且本人並不知情。在我發現該情況後,作為已實名賬戶的主賬戶,還不能對我的實名信息賬戶進行處理?致電支付寳客服,得到的結果是需要重新上傳身份信息。我真的搞不懂,我遇到的問題和重新上傳身份信息有什麼關係,我的賬戶已經是實名認證過的主體賬戶了,為什麼還要上傳,這能證明什麼?我是我麼?

另外,這一次我為了刪除非授權綁定的子賬戶上傳了身份信息,下次又有賬戶綁定進來,我是不是還要繼續申訴,繼續上傳,因為支付寳的實名認證子賬戶綁定根本不需要主賬戶的任何確認,這是不是支付寳認問題?難道還是我的錯咯?

由此,可以看出,支付寳實名認證系統存在著重大漏洞,賬戶的實名信息綁定不需要已實名認證賬戶的確權,只要信息一致就直接綁定,在當前沒有個人隱私的社會背景下僅靠身份信息就認定賬戶所屬或綁定,難免太兒戲了。

整個事件以支付寳客服中斷了我的電話作為結束,而就此搞一段落。對此,我將繼續追究,並需求媒體方面的幫助,請各界媒體聯繫我,謝謝。

最後,再次提醒各位支付寳用戶:請立刻檢查你的實名認證信息下是否存在其他人的賬戶綁定,如果有,立刻走投訴流程,雖然沒有什麼用,但,這也算是今後法律流程上的必要操作。不要等到你有重大財產損失或是揹負了別人的貸款後再去追究,那一切就都晚了。

等於是有人盜用他人身份證註冊了新的支付寳賬號
然後阿里的程序猿就自動給你進行了關聯
不需要驗證

只要泄露了身份證號碼
身份證複印件早就有專門的圖片製作工具了
阿里這只要複印件上傳
然後不找前一賬戶核實自動關聯
這可真是呵呵呵呵
而且更坑的是
如果關聯了
你甚至不知道是誰跟你關聯的
因為顯示是星號

(文章僅代表作者個人立場和觀點)


【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用($68美元/年),成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。

分享到:

看完那這篇文章覺得

評論

暢所欲言,各抒己見,理性交流,拒絕謾罵。

留言分頁:
分頁:


Top