“实名认证惊天漏洞”背后,支付宝搞错了什么?
本周四,有支付宝用户 突然发现自己的支付宝账号突然多了五个绑定账号,而这些账号都没有经过他本人的认证。
换句话说,他是在完全不知情的情况下,其支付宝账户下就多了5个绑定账户,而他本人也没有收到任何形式的通知消息,包括短信、邮件、或者登录后的站内信息。
这位用户的晒图如下:
用户在电话咨询支付宝客服后发现解绑较为困难,多次沟通无效后,该用户将整个过程发布到网上,随后支付宝针对此次事件作出了澄清。不少用户对支付宝的澄清表示不满,引起了人们的广泛关注。
而实名认证的账户之所以让用户如此担心的原因还有一个,就是 贷款也是在实名信息名下的,那么攻击者可以用这些账户来贷款借钱?是否也意味着 ,别人可以轻易借壳于你的身份来贷款,而最终却由你来还钱?
此次事件的真相和具体技术细节,其实阿里的各位同仁,特别是支付宝的安全团队,会更加清楚,我过去和他们有过一些沟通,他们在技术上颇有自己的独到之处。面向数亿普通用户的金融产品,如何平衡易用性和安全性,如何做好风险监管,相信他们会更有发言权。
但本次事件究竟是如何从一个孤立事件变成了现在的轩然大波,整个处理过程之中有没有值得改进的地方?我想从风险管理的角度谈谈自己的看法。
我们知道阿里巴巴是一家科技公司,但是支付宝,则是一家互联网金融公司,虽然使用了大量的IT技术,却不能改变它是一家以支付、借贷、投资管理、信用管理等业务为核心的现代金融公司,IT技术只是承载金融业务的工具和平台。本次事件,是否有支付宝的某些部门对这个定位认识不清,从而造成现在后果的可能性呢?
请先让我们来回顾下历史,因为历史总是惊人的相似。
大概在10多年前,传统的金融行业经历了与今天 支付宝事件 类似的情况:不少金融从业人员利用职务之便,使用第三方人员的身份信息,大量申请办理信用卡,轻则套取新办卡每张数十到上百元的补贴,重则进行恶意透支套现,给银行带来了重大损失,而信息被盗取者也遇到了不少麻烦。
之所以会出现这种情况,是因为当时信用卡业务的发展尚处于野蛮生长期,各家银行均把圈地发展用户数作为了首要目标,一时之间卡片漫天,甚至出现过一个普通的工薪收入者手上有五六张不同信用卡的情况。
为了给发展用户提供便利,很多银行都降低了申请门槛,可以没有良好的信用记录、可以不需要本人在场、可以不考虑还款能力等等,为后来的各种信用卡违规犯罪开启了方便之门。
而这与如今互联网金融强势崛起的情况何其相似:
由于互联网金融的崛起,各家公司为了扩大用户数,提高交易金额,纷纷降低门槛,申请过程更容易、使用更容易,注销更困难、解绑更困难,一切都是为了快速扩张服务。
就本次事件来看,支付宝,或者说至少是支付宝的某个历史版本,存在着用户身份验证不完全即可绑定账号的潜在风险。这也许是为了提高产品使用体验而作出的妥协,或者是某个历史版本的安全漏洞。用户方也必然存在某种疏忽(比如个人信息泄漏,或者账号密码/邮箱泄漏)才有可能导致这个结果。
作为一家技术公司,当然可以说产品不可能没有安全漏洞,而且也可以清晰地通过找到用户方的责任来对后果进行免责。但是作为一家金融公司,特别是创新型的金融公司,首先要考虑的则是用户的安全体验对新业务推广的正面和负面作用。
新业务的推广需要改变用户的使用习惯,并且克服用户对新技术的恐惧,而信息安全问题恰好是其中会起到关键作用的一个点,不解决用户对信息安全的担忧,新业务就很难大规模的推广。上个世纪美国的银行为了推广信用卡所采取的各种安全保障措施就是一个很好的例子。
而在用户投诉阶段,客服人员是否清楚现有产品和历史产品的安全问题?是否能够通过有效的沟通安抚用户的情绪,并且及时地协助用户解决问题?
互联网金融的优势是采用互联网技术能够同时地服务海量的用户,但是在风险管理和用户体验管理上,仅凭自动化的机器,有时是不能满足用户需求的。如果用户的满意度下降,前期辛辛苦苦发展来的用户群就会逐渐流失。
而互联网的特性又使得负面情绪和事件会被无限放大,从而引入了商誉风险,一旦危机公关措施不当,商誉风险的损失将远超过技术风险。
本次事件中,支付宝的危机公关团队虽然响应及时,但是却未能有效地安抚用户的情绪,也未能消除用户对安全问题的疑虑,反而留下了撇清推卸责任的印象,整个沟通过程和方法是否过于以自我为中心?并未能考虑到用户的体验和心理接受程度?这些都是值得我们深思和引以为鉴的。
从监管角度来说,监管措施往往是落后于金融业务创新的。
新兴的互联网金融恰好处于金融监管的灰色地带,现有的监管措施并不能有效地防范互联网金融的风险,这方面对监管机构尽快拿出新的风控措施提出了挑战。同时也更加要求行业龙头担负起责任,为整个产业的健康有序发展作出更大的贡献。
从个人角度来说,应注意以下几点:
1、使用互联网金融产品时要对可能面临的信息安全风险有着充分的认识,对自己的风险承担能力也有着足够的了解。
2、应该要保护好自己的个人隐私,使用手机拍摄证件时要注意关闭云备份,使用完要及时删除,也不要随便将证件照上传到不可信的网站。
3、尽可能使用复杂密码,定期更换密码,使用双重认证(例如USB KEY)。
4、尽可能使用专用设备进行金融操作,而不是与平时上网或者游戏的设备混用,特别尽量不要把密保手机用来直接进行交易。用来进行金融操作的手机不要安装非官方的应用。
5、遇到安全问题之后不要恐慌,及时有效地与官方沟通,创新业务的一个好处就是为了确保业务的顺利推广,前期厂商往往会对用户的风险进行兜底,所以良好有效的沟通后,实际损失并不会太严重。如果金额巨大,可以及时取证公证、并向监管机构或者消费者协会和媒体进行投诉。
总的来说,其实支付宝本身安全性挺高,并没有什么问题,主要还是在于用户的使用环境。当然,此次用户个人信息被盗,而支付宝没有拒绝用被盗信息注册的多个账户,目前虽然并不会产生严重后果,但是金融的风险监管问题不容忽视。希望本文能够引起对金融产品安全问题的注意。