监管黑洞:支付宝实名认证关联机制架空实名制
(百家特约记者 Sockets)
“我的实名认证信息下多出了5个未知账户。作为账户主体,我完全不知道是在什么时间,就有了这5个绑定账户,我也完全没收到任何形式的确认或是告知信息,通知告知我,我的实名认证账户下绑定了以上5个账户。……如果不是当时偶然的机会点到实名认证的链接,我可能一辈子也不知道自己的主账户下绑定如此多不属于我个人的子账户。”
新浪微博@F9y4ng披露支付宝关联认证漏洞,字里行间透露着不安。
图1 @F9y4ng披露支付宝关联认证漏洞引发热议,大量用户跟帖声称中招
图2 @F9y4ng名下被关联5个陌生子账户,身份信息遭盗用
@F9y4ng来自深圳特区,资深互联网人,长期关注信息安全。他在长篇博文《支付宝实名认证的惊天漏洞》指责支付宝方面推卸责任、轻忽安全。面对支付宝方面“钱被盗了,我们支付宝核实后是会有赔偿的”、“小二(注:客服自称)的账户还是被绑定在一个陌生的账户”、“等研究的流程出来才可以解绑”等答复,@F9y4ng对其没有恶意子账户问题处理预案深感失望。
图3 支付宝客服表示自己也中招,尚无解决方案
子账户关联容易 撤销需证明“我是我”
支付宝官方网站显示,通过绑定和验证银行卡方式完成实名认证的支付宝账户,可以添加多个关联子账户,关联子账户共享主账户身份信息,不必绑定和验证银行卡,自动成为实名认证账户。测试表明,验证主账户的支付密码和身份证号即可添加子账户,二者皆为静态信息,没有辅助验证(例如邮件或短信验证码等动态验证), 为钓鱼或挂马盗号者拓展了新的利益空间——盗卖认证身份。
然而,添加子账户容易,撤销子账户就难了。支付宝方面强调,主账户持有人无法自行撤销关联子账户,必须致电客服、上传身份证明文件核实身份后,由支付宝工作人员协助才能撤销。
带着对该流程设置的疑问,记者致电询问支付宝客服人员,得到的答复是“为了保护账户安全”。这个理由是成立的,毕竟撤销子账户关联相当于撤销其实名认证,可能影响相关财产权利和义务。然而被恶意添加子账户的潜在风险并不亚于被恶意撤销子账户,这个理由无法解释为何添加子账户比撤销子账户要容易得多。
子账户不受主账户控制 实名制架空
进一步测试表明,除了共享身份和权限,支付宝关联账户间没有任何从属关系,子账户是独立账户,完全不受主账户控制,然而其功能和权限与主账户相同,包括收款、付款、转账、理财、开店等(未实名账户仅允许通过网银付款,且不能收款)。
图4 添加以共享身份后,子账户仍是独立账户,不受主账户控制
这意味着不法分子可以借用或盗用他人名义在支付宝平台内、或在支付宝和银行间从事非法活动,包括但不限于洗钱、非法交易、行贿受贿等, 为架空实名制、制造金融和经营监管黑洞开启了方便之门。 律师表示,由于关联子账户验证门槛偏低,且被关联不明子账户问题已被不少用户证实客观存在,主账户持有人事后可以“子账户不是我的,我也不知道是谁的”为由拒绝透露子账户持有人真实身份、逃避法律责任(某些情况下可确认子账户属于本人以包庇职务犯罪者)。这样一来,借用和盗用的边界就模糊了,加上子账户不必绑定任何银行卡,双方违法成本和风险都接近于零。与此相比,那些借用或盗用他人银行卡以隐匿本人真实身份的简直弱爆了。
支付宝官方网站依然声称其实名认证“为第三方提供”、“由众多知名银行共同参与”、“同时核实用户身份信息和银行账户信息,极大提升其真实性”,但其实名认证关联机制却允许用户自行关联最多5个无法控制的他人账户,他人无需身份证和银行卡,仅凭电子邮箱即可获得完全控制、完全功能的实名认证账户,支付宝从“实名制第三方支付平台”变身“伪实名制银行”。
停用实名认证关联机制 消除监管黑洞
截至目前,支付宝两次声明均限于技术性安全风险,提醒用户保护个人信息,承诺增加关联认证通知,并向用户致歉。但这些补救措施远远不够,隔靴搔痒,治标不治本。
鉴于名下发现不明子账户者并非个案,支付宝应主动通知名下存在子账户的所有用户自行核查,指导和协助受影响用户尽早发现和排除隐患。
央行日前公布的《非银行支付机构网络支付业务管理办法(征求意见稿)》对实名制提出了更高标准,要求对客户身份基本信息进行多重交叉验证,确保有效核实客户身份。实名认证关联机制与此要求完全背道而驰,支付宝方面应收回其用户共享实名认证的权利,停用实名认证关联机制,消除监管黑洞。
如果放任自流,恐将铸成大错。