支付宝“快捷隐忧”：银行称交易不受保护
新华网/中国新闻网李娟
11月中旬的一个下午，身在上海的王雷（化名）发现自己的手机突然失去信号，咨询运营商后的答案令人吃惊：他的手机被挂失重新补办号码了。此后发生的事情让他更摸不着头脑——自己的银行账户被转走了共计6万多元。这是一起盗刷案件，不法分子获取王雷的身份和银行卡信息后，通过伪造其身份证在广东补办了王雷手机卡号，再通过注册一个支付宝账号关联了王雷的银行卡，从而达到转账目的。这已经不是支付宝“快捷支付”第一次爆出盗刷事件。所谓“快捷支付”，就是把银行卡账户与“支付宝”等第三方支付平台的账户相连接，在网购时可以直接输入后者的密码进行交易。易观国际高级分析师张萌昨天告诉《第一财经日报》记者，快捷支付和网银支付最大的区别是不需要像网银支付一样跳转到银行网关。昨天，支付宝（中国）网络技术有限公司（下称“支付宝公司”）相关负责人在接受本报记者采访时强调了信息安全的保障性，但并不否认，如前述事件中用户信息大量泄露，其账户风险概率会很高，“相当于表面上的防线被别人全部掌握了。”在互联网金融日益深入的今天，支付宝面临的“快捷隐忧”也是整个第三方移动支付行业面临的安全课题——一面是用户享受到的支付便捷，另一面却是为了追求用户体验而埋下的风控隐患。“目前第三方支付行业，不能光发了牌照就好了，行业准入门槛要提高，例如支付宝平台运行时，有快捷支付这样的创新之举，但更加要做好创新过程中的监管问题，树立行业的安全标准。”中国电子商务研究中心主任曹磊对本报记者说。快捷底线2011年，支付宝推出“快捷支付”。通过该支付平台，用户无须开通网银，可以直接通过输入卡面信息快速地完成支付。“换言之，他们就是通过一个账号来实现支付。”一家不愿意透露姓名的第三方支付业内人士对本报记者透露。这意味着这样的支付可以绕开银行，首次关联也无须输入银行卡的取款密码，这点得到了支付宝客服的确认。本报记者在支付宝上尝试快捷关联了一张银行卡，发现确实只需要通过输入手机收到的验证码就可以完成一笔支付。也就是说，欺诈者只需要掌握了用户的身份信息和银行卡号，并且能获取手机验证码，就可以成功盗取银行卡中的钱款。这也是不法分子首先拿王雷的假身份证去补办SIM卡的重要原因。便捷是否让安全的“边界”模糊起来？“支付宝快捷支付存在一些安全隐患，比如，第一次验证也不需要输入银行密码，相对来说，银行在身份验证上做得更严格许多。”一家股份制银行电子银行部负责人透露。昨天，本报记者致电工商银行（601398.SH，01398.HK）和建设银行（601939.SH，00939.HK），这两家银行的客服人员均表示，客户在使用“快捷支付”时，不用通过银行网银，所以交易过程不受银行保护。电子商务观察者、万擎咨询CEO鲁振旺称：“支付平台的风险关键存在于快捷‘支付密码’的设置上；当手机和银行卡绑定后，捡到手机的人不需要输入卡号，就可以获取密码。这是支付平台存在的巨大隐患，而且这个隐患越来越严重。”近期，国内部分媒体曾多次报道，因“快捷支付”银行卡遭遇网络盗刷的事件。今年8月份，腾讯（00700.HK）旗下第三方支付平台财付通的一些用户也抱怨账户被盗。支付宝回应昨日晚间，支付宝公司相关负责人向本报记者回应盗刷事件称，事件的起因在于有人使用假身份证在营业厅补办SIM卡，这本身是支付宝不可控的；对于任何起因的快捷支付被盗问题，该支付宝用户将获得平安保险100%的赔偿，本身不会有任何损失。2011年，支付宝就明确表示，用户使用快捷支付如果遭遇资金损失，支付宝将全额给予赔付。日，支付宝宣布向所有“快捷支付”用户免费赠送一份资金保障险，该保险由中国平安财产保险股份有限公司承保。但王雷还未享受到这一“福利”，“支付宝到现在都没有任何说法。”王雷告诉本报记者，目前距离盗刷事件已经过去了将近一周的时间。使用支付宝快捷支付时，不用输入银行卡密码，是不是降低了资金的安全性？上述支付宝公司人士表示，按照互联网支付的国际惯例，一般不会直接输入银行卡的取款密码。原因在于，首先，银行卡的6位数字密码用在互联网上安全强度不够；其次，如果遭遇钓鱼网站或黑客攻击，银行卡密码泄露的风险更大。他表示，除了“快捷支付”密码、手机校验码等，支付宝还有用户看不见的后台风控系统，但是，该人士也承认，客观上说，上述盗刷事件中受害人身份信息几乎全部泄露，其账户风险概率会很高。“对身份证信息验证不足，输入密码时缺少多重认证，正是支付宝快捷支付最大的漏洞。”一位银行业人士分析，快捷支付是一种创新，但身份证验证是一种底线，如果没有足够的风控能力，只是省略程序就当做创新，这是对整个行业的一种伤害。安全VS快捷中国电子商务投诉与维权公共服务平台监测数据显示，在2012年度全国第三方支付领域投诉中，财付通占比为23.50%，国付宝占比为19.83%，支付宝占比为16.70%，易宝支付占比为9.35%，百付宝占比为4.90%。“第三方支付的安全问题的性质，与传统的信用卡被盗刷等现象类似。”IBM资深战略分析师王祺认为，第三方支付平台提供增值服务，简化交易流程是对整个支付模式的改变，安全问题是该模式内可控的问题，只是需要找到改进和完善的方法。“银行的信用认证是靠个人身份证认证，这是唯一的身份认证；支付宝等第三方支付则有多种认证方式，如：实名身份认证、手机、邮箱等。”王祺分析称，相较于银行个人身份证认证的物理性，第三方支付平台可以使用手机、邮箱等虚拟信息进行认证；少了实物认证后，用户交互体验的复杂度降低，这就增加了用户体验。在王祺看来，这也表明在第三方支付平台，用户体验和安全性的平衡点在于：你是选择虚拟信息认证还是实物认证。但颇为微妙的是，这个选择权既在第三方支付平台手中，也在每个用户自己的手中。鲁振旺认为，快捷和安全之间需要找到一个均衡点，不能为了快而降低安全水平。他分析称，网银支付之所以麻烦是因为要输入所有信息，快捷支付的安全问题解决手段可以考虑输入账号的后4位数或设置消费额度等来解决。曹磊称，首先要确保安全性的前提下，缩短流程再改进用户体验。前述支付宝人士也表示，安全与便捷之间需要一个平衡，安全性越高可能用户使用更加复杂；其内部将不断提高智能风控精准度，同时提示用户注意自己的信息保护。仅从技术角度而言，王祺认为，目前互联网金融的快捷支付暴露出安全问题并非全是坏事，“想要兼顾便捷与安全，必然推动新的技术出现；比如：指纹识别、虹膜识别等体感技术未来可能运用到支付解决问题。”另一个令外界关注的是监管问题，央行金融消费权益保护局局长焦瑾璞近日表示，互联网金融给金融消费权益保护带来了挑战，“互联网金融归谁管？是银监会、证监会还是保监会？谁也搞不清楚。出了问题怎么办？老板拿着钱跑了怎么办？谁来承担这个责任？”中国社科院数量经济与技术经济研究所副所长何德旭透露，互联网金融已引起监管层重视，央行成立了专门研究小组对全国互联网金融状况进行分析调研。
正文已结束，您可以按alt+4进行评论
相关阅读：
相关搜索：
扫描左侧二维码下载新闻客户端 更多惊喜送给你
想了解福建古闻、习俗、人文、美食等可以订阅精品原创栏目《光阴福建》
《翁进谈心》有专家为你解读情感方面的问题，让你生活更加美满。
关注原创栏目《康师父》，可以了解自身健康的方方面面，让你更为养生。
看过本文的人还看了
[责任编辑：wydamin014]
福州市交警公布14条电动车行人违法处罚标准
厦门半马本周六海沧开跑 最美路线助攻周末“跑旅”
关注排行图片排行
Copyright & 1998 - 2018 Tencent. All Rights Reserved当拇指滑动时，你刷的是朋友圈，还是寂寞？
邀请好友送大礼，“山东24小时”果6、米4、话费等你拿。
体现中国的责任与担当，为中国与世界互联互通搭建国际平台。
曾捧红周星驰、张敏等艺人的向华胜患食道癌晚期病逝。
19日,德州平原县的林先生向记者反映,双十一当天凌晨,他绑定了支付宝的两张银行卡,连续发生14次充值交易,所有资金被扣光。央行相关人士提醒消费者,如果已不能登录账户,须立刻致电银行或者支付机构的客服电话,申请对您的账户进行暂时监管。
　　19日,德州平原县的林先生向记者反映,双十一当天凌晨,他绑定了支付宝的两张银行卡,连续发生14次充值交易,所有资金被扣光。随后遇到假冒的支付宝客服,以退款的名义通过钓鱼链接骗走了1万余元。
　　支付宝凌晨疯狂充值
　　林先生回忆当时的经过说:“当时我正睡着觉,突然被手机吵醒了,打开一看是银行连续发来好几条短信,说我的卡发生支付宝交易了。我还没反应过来,在几分钟之内收到十几条同样的短信。最快的时候一分钟发三条。第一次是100元,后来每次都是200元。卡里的钱很快就全被扣光了,根本止不住。”
　　他第一反应是赶紧给银行打电话,“但是银行的客服电话占线,我没打通。正慌着的时候,来了一个电话,显示是浙江杭州的手机号。”林先生接听后,电话那头自称是支付宝的工作人员,询问款是不是扣错了,卡里是不是没钱了。林先生一听,赶紧说确实扣没了。
　　“对方说要把扣错的钱给我退回来,但是无法退回到原来的卡里,必须退到一张从未绑定过支付宝并且开通了网银的新卡上。”林先生说,自己没有新卡可用,等天亮再说吧。然而,过了一会儿,又打进来一个电话,仍然自称是支付宝的客服人员,告诉林先生,这笔错扣的钱已经解冻出来,由于赶上双十一,系统繁忙,交易量大,出现误扣后要及时处理,否则可能以后比较麻烦。
　　客服退款却骗走万元
　　正要睡觉的林先生非常感激,这客服真是敬业,半夜两次打电话及时处理差错。想来想去,自己还有一张信用卡,于是赶紧绑定到支付宝账户上。几分钟后,林先生第三次接到电话,“要了我的QQ号,说通过QQ发给我一个退款链接,确认之后就可以了。”林先生通过手机QQ收到链接后,点开页面只有一个黄色的按钮“确认退款”,看上去和支付宝官方网站的一模一样,他点了之后页面就自动关闭了。第四个电话打进来:“先生,钱已经退回,第二天到账,您就安心睡觉吧。”
　　林先生说,挂了电话之后,自己觉得心里不踏实。不久,他的信用卡账户发来短信提醒,连续有4笔消费共7800多元不翼而飞,最高的一笔4000元。他再也睡不着觉,连夜跑到附近的银行,通过ATM机查询,绑定支付宝的银行卡都被扣光,只剩个零头。后来绑定的信用卡也没幸免。
　　钱眨眼已在千里之外
　　林先生这时明白自己中圈套了,赶紧给信用卡中心打电话,试图通过冻结账户的方式予以阻止。信用卡的客服确认发生了几笔交易,但是已经转走的资金,无法冻结。林先生又拨打银联的客服电话,查询这几笔钱的流向。其中6900元,分两次转到了一家移动支付平台――北京联动优势科技有限公司。而联动优势的客服告诉林先生,这两笔钱向一个名为“口袋购物”的移动网购平台支付。
　　林先生在焦灼中等到天亮,上午9点左右,他联系到了口袋购物的工作人员,对方称,这6900元已经被联动优势冻结,需要提供警方立案回执、身份证、银行卡等信息,才可以退还。
　　林先生跑到银行,打印了被盗刷账户的交易流水,其中两张储蓄卡分14次充值到支付宝2700元。记者从他的支付宝交易记录里看到,向“星辰数卡账户充值”2699.73元,交易对方是北京璀璨星辰科技有限公司。而他后来绑定的信用卡,银行交易记录显示消费了4笔,共7800多元,除了已经被冻结的6900元之外,有499.95元也是通过支付宝向星辰数卡账户充值。还有470元在“网银在线(北京)”消费。
　　钱是怎么从支付宝出去的?　支付宝解释说,原因是被骗点击了钓鱼链接
　　12日,德州市平原县公安局对林先生被诈骗一案立案受理,该局网监科向林先生出具了立案回执。
　　林先生对银行卡一夜之间被转空的事实难以接受,这几天一直在尝试追回损失,“口袋购物已经退回来2900块钱,另外4000块答应在15个工作日之内退还。”通过支付宝转走的近3200元,却希望渺茫。他向支付宝交涉多次,期待能挽回损失。
　　支付宝的工作人员告诉他,他遇到的所谓的“支付宝客服”是假冒的,支付宝不可能使用官方客服号码以外的电话联系客户,也不会通过社交软件发送不明链接。支付宝虽然有账户保险,但只保障账户被盗,而不保客户被骗,导致资金损失的原因是林先生点击了不明链接。
　　林先生却认为,假如支付宝没有在凌晨连续充值14次,直到把他的银行卡中的资金扣光,他就不会被假客服欺骗。而且,为支付宝充值是需要银行卡的支付密码,甚至还要短信验证码,到底是怎么做到的?
　　20日,支付宝方面的相关人士经过核实后告诉记者,林先生的支付宝账户在11月11日凌晨有异常登录,系统监控显示不符合其本人的登录习惯,因此当时就启动了更高级的安全措施。登录者并没能把资金直接转出,而只是充值进了支付宝账户。登录者之所以每次充值200元,是因为数额较大的话需要短信验证码,应该是经过多次反复测试,逐步降低额度,最终绕开了验证码。
　　“如果林先生不点击来历不明的链接,他的资金不会发生直接损失,被拦截在支付宝账户内。包括后来绑定新卡,显然都是被人骗了。诈骗已经超出了我们的能力范围,需要由公安机关来侦破处置。”支付宝方面的有关人士介绍说,经过测试,林先生点击的链接是钓鱼软件,电脑的浏览器有自动提示,而遗憾的是林先生用手机打开的,可能未识别并拦截。
　　请注意:　坏人变聪明了,黑招都挺损
　　据业内人士介绍,“黑产”(即黑色产业)团伙在拿到赃款后,一般迅速通过购买虚拟商品洗白变现,如果购买实物可能会在担保交易期内就被冻结。因此,像林先生这样的受害者追回损失的可能性很小。坏人变聪明了,选择人们防备心理最薄弱的时间,像林先生就是在凌晨睡觉时,选择非实名制的手机社交软件发送钓鱼链接,不能有效拦截。“黑林先生的人显然比较损,大概发现他的账户余额有限,又挖了一个坑,以退款的名义让他绑定新的银行卡,然后再放钓鱼链接,一网打尽。”
　　提个醒
　　互联网金融盛宴分清馅饼和陷阱
　　19日,中国人民银行发布了《金融网络安全知识手册》,向社会大众普及金融网络安全知识,提供安全攻略,帮助人们给网络账户加道锁。
　　安全攻略八项注意
　　1、不要轻信手机接收到的中奖、贷款等短信、电话和非银行官方网站上的任何信息;
　　2、不要轻信假公安、假警官、假法官、假检察官等以“安全账户”名义要求转账的电话欺诈;
　　3、避免在公共场所或他人计算机上登录和使用网上银行;
　　4、退出网上银行或暂时离开电脑时,一定要将U盾拔出;
　　5、操作网银时,不要浏览别的网站,有些网站的恶意代码可能会获取您电脑上的信息;
　　6、对不同的电子支付方式分别设置合理的交易限额,每次交易都请仔细核对交易内容,确认无误后再进行操作;
　　7、在交易未完成时不要中途离开交易终端,交易完成后应点击退出。
　　8、定期检查核对网上银行交易记录,并可以通过定制银行短信提醒服务和对账邮件,及时获得银行登录、余额变动、账户设置变更等信息提醒。
　　发现被盗怎么办?
　　网络安全重在防范。央行相关人员提醒消费者,一旦发现被骗,要在第一时间联系银行、支付机构,采取相应应急措施,同时向当地警方报警。
　　已经在钓鱼网站输入了密码,或者发现账户资金可能被盗怎么办?《金融网络安全知识手册》给出了较为清晰的步骤:消费者需要
本文相关新闻
初审编辑：余梁
责任编辑：石慧
中国国务院总理李克强11月20日在浙江省考察时来到义乌国际商...
10月7日晚，天津女孩儿张碧晨在第三季《中国好声音》总决赛中...
秋冬穿衣极简至上，黑白灰成为主色调，枯燥的色调早已让人视...
中国抗日战争作为世界反法西斯战争的重要组成部分，抗击和牵...
新闻热搜词
来源：360新闻
正在加载中
|||||||||||||
||||||||||||这是央视的一篇报道，“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破，所有银行卡的资金全部被转移，那是一种一无所有的绝望。”
这篇万余字的长文，描述了当事人遭遇的全过程。
当事人小许，一名大学毕业生。“漂”在北京辛苦挣来的所有积蓄说没就没了。
详细事件经过
当时是在地铁里，小许连续收到了几条短信，显示他订阅了增值服务，并且实时扣费，造成话费余额不足。小许说他根本没订阅。随后，小许收到了另一条短信。
当小许正在琢磨验证码时，他又收到了一条短信，内有验证码数字。
展开剩余81%
小许将“取消+验证码”发过去。小许却惊讶地发现，自己的手机彻底无服务了。
在有无线网络连接情况下，小许给手机充值150元，然而依然显示无服务。这就是麻烦的开始。
小许的手机在无线网络连接下接连收到了支付宝的转账提示。
有人在另一个终端上操作他的支付宝账户。 手机无法使用，小许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且通过亲友打支付宝客服电话冻结账号。等他支付宝挂失成功时，他的支付宝账户也没钱了。对方还操作了银行跨行转账。最后，他的每一张银行卡里，余额都是零。
第二天他发现，他的两张银行卡，绑定了另一个支付平台——百度钱包上，加上小许原本绑定百度钱包的另一张银行卡，他三张卡里的钱全部转入了两个陌生账号。
这意味着，就连他的银行账号，也被攻破了。
“ 验证码”骗局到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”业务，编造“剧本”：
先是破解密码登录官网，为当事人订阅增值业务并实现扣费 ；再发送一条诈骗短信，告诉当事人可以免费退订，但要立即回复“验证码”；重点来了，当事人搞不清“验证码”在哪，攻击者在网上营业厅发起换卡业务，系统自动向当事人发送“验证码”，当事人把它回复到到攻击者手中。利用“验证码”，攻击者完成“自助换卡”，进一步对受害者的财产账户发动攻击。
手机号不仅仅是你的通信工具。它是你在互联网上的唯一身份凭证，丢失了手机号。身份暂时就被另外一个人取代了。
专家提示，从电脑到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全威胁，如果只靠一个简单的静态密码，无法保证安全。因而，首先一定要保证静态密码足够复杂，并妥善保管防止泄露。
“四招”防范“验证码攻击”
一、静态密码设置一定要复杂
攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对短信和来电进行认真甄别，冷静应对。
二、遭遇“干扰信息”仔细甄别莫慌张
每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。
三、手机离奇“瘫痪” 紧急“挂失”当先
如果手机通讯出现瘫痪，如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者冒名顶替机主身份窃取账户。
四、短信验证码 不能告诉任何人！！！
最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。
声明：本文由入驻搜狐号作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。手机中毒致使银行卡被盗刷&要求银行和支付宝赔偿败诉
&&&&来源：&&&&
&&&&&&字号
原标题：手机中毒致使银行卡被盗刷 要求银行和支付宝赔偿败诉
福建省厦门市市民陈女士的手机中了木马病毒，银行账户余额通过支付宝平台被转走。陈女士认为支付宝和银行没有尽到安全保障的职责，将二者一同告上法院，要求赔偿损失。近日，厦门市思明区人民法院驳回了陈女士的诉讼请求。
陈女士办理了一张银行卡，与支付宝绑定，并开通了快捷支付的功能。今年1月20日凌晨，陈女士的银行账户在她毫不知情的情况下通过支付宝平台快捷支付转出了6510元。直到当天傍晚在接到支付宝公司的电话后，她才知自己银行卡内存款被他人取走，随后挂失和报警。
事后，陈女士查询通话详单发现，从事发前一天开始，她的手机就频繁地向一个归属地在江西南昌的手机号码发送短信，事发当天共发送了69条短信，每条短信间隔时间很短，甚至只有1秒钟。而就在银行发送验证码后的几秒钟，陈女士的手机又接连向这个号码发送短信。
法院审理认为，根据相关证据证明，事发当时，银行已通过短信向陈女士的手机发送了验证码，履行了应尽的通知义务，故交易密码及动态验证码理应只有陈女士本人知晓并掌握。而陈女士又缺乏证据证明银行的交易系统存在安全隐患或漏洞从而导致其本人交易密码泄露。
至于支付宝公司，因与陈女士不存在合同关系，且陈女士同样缺乏证据证明支付宝在其账户资金被他人使用过程中存在违法或违约行为。结合事发当时陈女士的手机存在异常，可以推定他人通过她的手机窃取其重要信息并进行交易，因此，应该认定陈女士未能对其重要信息尽妥善保管义务而导致本案损失的产生，对此，陈女士应承担全部责任。
■法官提醒■
网上支付要注意用卡安全
该案承办法官林芳认为，这起案件不同于传统在ATM机上交易的案件类型，即不需要使用银行卡，不存在伪卡交易，只需输入银行卡持有人的姓名、身份证号、交易密码、手机验证码、手机号等信息。该案从实际网上交易流程可以确定讼争的两笔交易系凭原告银行卡的信息完成的，而从交易当时原告的手机存在异常，可以推定原告银行卡的重要信息已被他人通过其手机窃取并进行交易，而银行已提供证据证明其在交易时，已向原告注册手机发出验证码，履行应尽的通知义务，保护了交易的安全，故可以认定系原告未能对其重要信息尽妥善保管义务而导致损失的产生，原告应对此承担全部责任。
为此，林芳法官还建议消费者在使用互联网支付时应特别注意用卡安全：建议选择信誉好、运营时间长的网站进行互联网支付业务，避免进入“钓鱼”网站；网络金融服务中，银行卡预留的手机号码通常是非常重要的验证手段，因此务必注意保管手机，并为其设置密保措施；设置一张额度适当的信用卡或存款余额适当的储蓄卡作为互联网消费的支付用卡，尽量避免使用存款余额较高的储蓄卡。（记者 何春晓 通讯员 杨长平）
(责编：赵环环(实习生)、张雨)
善意回帖，理性发言!
使用其他账号登录:
恭喜你，发表成功!
请牢记你的用户名:，密码:,立即进入修改密码。
s后自动返回
5s后自动返回
恭喜你，发表成功!
5s后自动返回
最新评论热门评论
24小时排行&|&
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by www.people.com.cn all rights reserved
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by www.people.com.cn. all rights reserved如何评价“支付宝实名认证”的漏洞？
最近几天关于支付宝实名认证存在漏洞的问题引起了各界的广泛关注，质疑声、声讨声、担惊受怕声等各种声音不绝于耳。为此，中国支付网也集中整理了网友关于此事的观点，主要观点内容如下：
网友”看到左边那俩箭头没有?点上面那个“的观点：
支付宝声称被关联源头是资料丢失，应该是客户自己担责。然而，客户的资料是酒店和其它资料库被破解所致，客户几乎没有过错。更重要的是，客户丢失的也并非足以验证实名支付宝的资料，说到底还是因为支付宝的实名验证逻辑有漏洞：
身份证号和实名的关联验证，银行卡号和实名的关联验证，但身份证号和银行卡号的对应不验证，导致留下了可以用一个身份证破解全部重名身份证的漏洞，支付宝难辞其咎。
装逼时间：
我在去年八月就在知乎提过这个漏洞了，今天才引起注意，只能说支付宝过于自大，低估了互联网黑产者的能量。
中国互联网有哪些黑色产业链? - 知乎用户的回答
以下摘自原答案：
淘宝号用处很多，但是支付宝不实名就没有用。于是，就有人出售能够用来实名的资料以及账号，使用的时候，可以让你顶掉原拥有者的账号，于是有些人的账号就被莫名其妙顶了，或者发现自己被关联了很多号，这个原理是什么嘞?
为防社工库和黑产高手利用大量资料搞僵尸号，支付宝实名目前使用了一套安全度极高的实名验证方式，即跟公安系统联网。
一、检查银行卡姓名和身份证姓名是否对应
二、身份证号加姓名是否真实对应
三、银行预留手机号以及验证码和银行卡是否对应
或支付宝打进这个银行卡号的那笔款项是否正确。
这是一个非常聪明的办法，相当于变相把账号注册的难度和银行的安保级别挂钩了，因为没办法用虚假身份办银行卡，这样对于买手机号，查身份证号的人，就傻眼了。
但是聪明的你一定发现了，这里有一节是断的：
就是身份证号和银行卡号不要求对应。
代表什么呢?
假如你叫李刚，中国有百万李刚，通过某些社工库，能搜到上千个李刚的开房记录，包括身份证号，然后，他只要掌握了一张李刚的银行卡，那么，当当，他可以用这张银行卡匹配全部李刚的身份证号，拿来做新的实名账号也可以，顶掉或者关联这些李刚已有的支付宝也可以。
于是，就有了一大堆资料和实名账号，于是四个月前，每个支付宝账号领一瓶友宝一分钱领饮料的时候，广州某些地铁站，大学城附近，常常有行家里手带着拉杆箱运饮料，然后晒恒大冰泉洗澡。
网友”罗宏玥“的观点：
一个实名支付宝廉价到你无法想象，2手的实名支付宝低到几毛钱一个，全新也不到俩块钱。
看到有人回复说自己身份证被注册，还发现绑银行卡，可是银行却查不到。
原因很简单，支付宝快捷实名认证没办法做到所有数据相互验证，只能部分数据两两验证。而中国同名的人又这么多。
当然这个问题不是只有支付宝才存在，而是大量平台普遍存在的问题。比如财付通，京东钱包。
ps:我把评论里面卖支付宝号的删掉了
网友匿名用户的观点：
阿里短期里是无法解决这一问题，我去年夏天就已经问过阿里关于实名的问题，当时得到的回复是，我接触到的人无权解决这一问题，也就是客服或客服上一级。
解决实名问题后，能很大改变淘宝刷单的问题。懂的自然懂。
实名是一个很大的黑色产业链，很黑暗。不单是阿里的问题。
关于第一点，阿里当时明确告诉我的答案是:不可以删除自己名下其它支付宝，就算我要求删除，也是不行的。至于原因，阿里没有明说，不过也能猜个大致。
第二点:支付宝一个帐号可以带5个子帐号，就意味着有6个实名的淘宝小号。如果打击了这个事情，小号就要少很多。对淘宝刷单的打击相当大，相当大，相当大。
网友”梁川“的观点：
可以按照如下步骤重现此问题(应该不是唯一的渠道)：
1、随便注册一个新账号，新注册过程中，要求提供手机号、绑定快捷支付的银行卡、身份证等信息
值得注意的是：
a、即便是原来已有账户使用过的信息依然可以在注册新账户时候使用，注册过程并不会强制诸如身份证、手机号的唯一性。例如像我新注册的支付宝账户就使用了老账户绑定过的身份证号、银行卡、手机号，依然可以可以顺利完成注册。
b、此步绑定的银行卡，应该完成了用户银行卡的实名认证，应该没采用身份证+银行卡的实名认证。
2、以新注册的账户登录，使用身份证完成实名认证
此步应该是调用诸如国政通、公安部接口对身份证进行实名认证，但正如所有支付公司一样，并不要求提供身份证原件照片。
3、使用老的账户登录，会有不算醒目的实名认证通知
4、到账户设置-&基本信息-&实名账户 下查看，可以看到已经新注册绑定的账户
因此大致可以总结一下(由于未做详细验证，有推测成分)：
1、多个不同账户用同一张身份证做实名认证，支付宝就会自动关联这两个账户。
由于国内用户身份证信息、银行卡信息泄露的渠道奇多(例如在淘宝上就购买到真实身份证照片、同名银行卡信息;例如以前淘宝数据库被拖库等等)，假如有人通过某些渠道获取了用户身份证、银行卡信息，很容易通过实名认证(V2级别)。
2、为了用户指标等KPI指标或是其他原因，支付宝账户放松诸如身份证、手机号等核心信息的唯一性要求(只允许身份证号、手机号与一个账户绑定)。其实放松唯一性要求在产品层面也可行，但应当通过额外的验证步骤来保证实名认证的效果。
3、在产品层面，对实名认证的用户及支付宝自己的运营人员都未提供有效的解绑工具或让用户证明自己的流程或工具，导致出现问题后，无法及时解决问题。
4、支付宝官方声明说用户账户下的子账户不能用于贷款，姑且相信官方的说法，但是否会影响用户的芝麻信用呢，会不会还有其他的潜在问题呢?所谓“信心贵入黄金”，如果对于此问题都无解，都是用户的问题，那用户凭什么相信呢?
作为一个第三方支付从业者，理解支付宝在实名认证上策略的无奈：要在用户体验及安全性上取得较好的平衡很难。目前主流的实名认证手段(身份验证：进行银行卡验证的网站都是怎么进行验证操作的? - 梁川的回答)本质上无法真正认定“你就是你”，只要知道对应证件信息的人，都可以轻松绕过实名认证过程。但要采用打随机金额、上传证件等方式，体验上又非最佳。
可以说，基本上所有的支付公司都存在类似实名认证的困境。
但此次事件暴露的问题，个人认为主要集中在：
支付宝公关、运营人员整体的策略是一如既往地将问题归罪于用户自己的隐私信息泄露，强调支付宝安全体系的NB，并未从产品流程、运营流程甚至KPI指标角度去总结问题的根源。
自证系统的安全性及先进性对解决问题毫无帮助，用户需要的是专业的产品设计、应对问题的快速、专业的响应，只有这样才能建立起用户对系统的信任和信心。
网友“棉花糖里的大小雨，乳不贫何以平天下”观点：
同学换了手机卡，然后把qq,美团，支付宝都更换了绑定号码。
以上三个app在更换绑定号码时都不需要原号码的短信验证。
并且只有支付宝更换绑定号码时不会给原来的号码发短信提醒!!!!
qq至少会有6个小时的滞后时间，并给原号码发送了确认短信。
我玩个游戏更换绑定号码都要原号码的短信验证，这三个app真让人忧心(?_?)
网友“少仲，前阿里北一门保安”观点：
知乎用户、安格瑞、萧沂璟 等人赞同我觉得应该开个专栏《阿里大事件》来记录他大阿里搞出的大新闻。
x年x月x日，天猫锤子手机销量造假事件。
x年x月x日，阿里服务器宕机事件。
x年x月x日，某某员工因工作居住证问题离职事件。
x年x月x日，2015年校园招聘怒坑应届生事件。
x年x月x日，支付宝实名漏洞事件。
网友匿名用户的观点：
查了一下我也中招了，支付宝下面被绑定了5个无关的淘宝账号，刚打电话给支付宝客服，客服表示得上传身份证以及驾照到支付宝来申请解绑。
然后我问了几个问题如下：
1、假如我上传了，然后支付宝把那几个无关淘宝账号解绑了，过几天又被恶意绑定了，是不是又得重新上传，客服表示肯定不会的，我问为什么肯定不会，客服表示不知道。。。
2、为什么绑定淘宝账户这么简单，想解绑就这么麻烦，客服表示这是为了您的账户安全着想，不能被恶意解绑。。。我服了。。。
3、被绑定5个淘宝账户，对我的支付宝资金安全有什么影响，客服表示没影响，我问为什么没影响，客服表示只能绑定支付宝，但进不来支付宝。。。
4、以后这事怎么处理，客服表示他们部门正在解决，现在只能上传身份证证明自己账户是自己的。
我到现在也没搞懂这到底发生了是么，难道随便建个淘宝账户，然后知道了支付宝账户就能绑定进去?为什么绑定淘宝到支付宝随便绑定，解绑就得上传证件?
网友赵劼，知乎“温赵轮”三大软狗之一的观点：
看到这篇文章于是我找了半天才找到实名认证哪里可以点进去看。
然后发现我特么也中招了。
然后我又找了半天没有找到哪里可以申诉的地方。
网友"MSP甄心cherish"的观点：
虽然我没中，但是包括刘老师等多人中坑的情况下看来这事波及范围不小。
1%用户表示静观事态发展...
送#支付婊#上头条
网友“漭漭”的观点：
第一时间解读支付宝官方回应：
1、你个人信息被盗了关我卵事，反正我只要拿到正确的身份信息，就给你加子账户，没有义务通知你。
2、我们的风控很牛逼，反正别人盗用你个人信息开小号也不影响你的资金安全，所以我们不提供解绑功能。
3、我们才不会主动给你解决问题呢，你有疑问可以打我们的热线，在语音导航里绕十分钟最后接通人工台，我们客服解释完了以后会主动挂断你电话的。
4、你知道吗，我们的保险公司可以为你的被盗资金提供最高 100 万的赔付呢，还等什么，快点被盗吧!
核心观点提炼：用户你好，我是你爹。
有人说，打开这个问题看到大片都是埋怨和嘲讽，为什么不好好指出来怎么解决安全问题?
答：我是客户，我享受不到应有的服务也就算了，凭什么还要求我提供有效建议啊。你家里进了贼，我请你先给小区安保提出解决思路，抓贼的事情先缓缓，你乐意么?
网友“开飞机的小蜗牛”的观点：
刚才(30分钟前)我登录我的支付宝还发现有5个已经绑定我的身份证，现在( 21:43:49)查看发现只有我自己的帐号了。不知是支付宝紧急处理了，还是只是做了屏蔽(我猜测绝对是不让你看见而已，也不让新来的用户发现自己账户下有多个子账户)。
我在另外一个问题下的回答会同步更新我支付宝的状态：怎样评价支付宝在子账号上的漏洞?
网友“CSS魔法”的观点：
【脏话预警】
好吧，作为中招用户，我也不专业地评价一下。
支付宝的实名认证功能很傻×：主账户在没有任何通知和确认的情况下就可以被其它账户关联、主账户无法取消绑定子账户，甚至主账户连子账户的全名都看不到。主账户完全无法控制子账户的权限、行为及后果。
同时评价一下支付宝的这个声明(一个正常的支付宝实名认证账户下会不会出现... 来自支付宝)，我只想说，写这个声明的人是傻×，还真是一副 “我是你爹” 的嘴脸。
网友“湖爷洞”观点
卧槽…原来国家出台的网络支付安全里的小额支付需要至少3个渠道证明我是我…是这么的有必要…
网友匿名用户的观点：
2009年我在淘宝阿里实名认证时，客服说我的身份证号码早已认证了某个店铺，可实际上是我从来都没有办过;
然后我说那个店铺怎么联系，关了这个店铺，客服怎么都不告诉我，还以隐私为名拒绝!
我当时就擦了，身份户籍都已经亲自上传给你了，还怎么证明你爹就是你爹?既然以是我的身份注册了店铺，为啥我不能知道店铺的情况?
从此，因为安全问题，我再也不能使用本人的账号了。
淘宝既然拒绝透露，说明这种情况我不是特例，要么是淘宝初期我的身份被盗用，要么它自己手里不干净，为了夸大用户数量，盗用或者审核不严格，自己都心知肚明。
客服那么拽的语气现在都记忆尤新!
阿里现在看上去光鲜靓丽，在这个事情上我深以为耻。
来自: 知乎
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点}