支付宝实名认证漏洞续篇—大家说？

支付宝"实名"认证漏洞续篇—大家说

首先，我们第一时间关注了新浪微博原博主发的相关文章；

同时知名IT人士Fenng及乌云君也关注到了本次事件，并且向广大网友提供了自查方法及流程。

接下来，我们来看看微博及知乎社区网友们的热议，其中不乏有多位受害者。

微博网友：skyway0079

支付宝、淘宝漏洞很多，我曾经遇到过这么一个问题：O淘宝网注册修改资料存在漏洞，那个用了我邮箱的店家现在都已经没了，但我的邮箱到现在还在被占用，和淘宝联系了多次都没有结果。

微博网友：shameless024

我的账户也有这种情况存在，绑定了一个163邮箱的陌生账户

微博网友：上古神圣巨龙

之前别人给转账遇到过这个情况，我也是被绑定了，要我重新上传身份证然后再去当地营业厅申诉才行(手机号)。问题是，我身份证从来没丢过，手机号从来没丢过，03年用到现在，莫名其妙就被人绑定了。

微博网友：Red_Viper

看了一下，没有被不知名账户挂靠。添加新用户是需要身份证和支付密码的，我想知道怎么被人恶意挂了那么多。。。漏洞在哪？

微博网友：ofnhkb1

已被恶意绑定并贷款了1W，客服一直不理，最后我自己找到了人，但是报警也不理@支付宝。

微博评论传送门：http://weibo.com/1981622273/CErKZrQOc?type=comment#_rnd1444485627149
这样看来，这绝对不可能是个案，具体的真实性，还待考证，建议支付宝官方可以进一步向相关网友进行核实。




支付宝官方于当天17点17分正式对外发出声明，如下图，详情如后图。

除了官方写了4条无实质性意义的内容，在301看来推卸责任内容相对较多，我们分析下官方给予的四点声明。
1、支付宝实名认证需要身份证、银行卡等关键信息验证，如果出现被绑定其他账户的情况，请妥善保管自己的个人信息。翻译一下：『用户个人信息丢失，个人需要加强安全意识，与官方无关。』
2、被绑定后是否可被用于贷款等恶意消费，『我们有风控手段，大家请放心。』
3、如果有账号被盗等情况引起的异常关联认证情况，可通过人工方式解除关联。『今天当事人已经明确表示跟官方客服进行沟通，但是没有得到满意的答复，并未得到向官方所说的人工客服即可解除相关绑定的结果。』
4、我们有完善的安全体系，风险水平极低，可最高赔付一百万。『从前文微博评论中，我们也能发现有相关网友反馈存在被盗刷情况，并未得到妥善处理——赔付』


另外，针对之前博主（F9y4ng）提出的四个问题，从目前微博的反馈看，还没有得到正式的答复，我们希望以下四个问题能够得到妥善的处理。

1、 支付宝的实名认证，我在2010年就完成了身份证信息，银行卡信息的认证，为什么别人还能附加在我已经认证过的信息下？

2、 实名认证的子账户绑定流程是否存在严重的漏洞？任何人只要伪造某人的身份信息，只要提交的认证材料和已实名账户的信息一致就可以直接附加子账户，不需要原有实名账户的确认？

3、当我的实名账户被绑定了其他子账户时，为什么没有收到任何形式的确权信息，注册过的手机、邮件、已经主账户登录支付宝后的站内信都没有任何形式的提示？不确权就随意附加账户到别人的实名认证账户下是不是流氓行为？

4、我作为实名认证的主账户，为什么不能删除已授权子账户，并禁止账户绑定功能？支付宝是不是在刻意制造漏洞？


另外，我们从知乎社区获知，也有不少热心网友在关注这个话题。

传送门：http://www.zhihu.com/question/22803145


我们抽取了几条比较有意义的回复：

知友1：云外

今年7月的样子，因为花呗，我也发现有人和我绑定了，他开通了花呗，导致我这边开通不了！
当时我就觉得大事不妙，直接申述解除绑定，
当然已经迟了，花呗钱已经被套现3k
然后我各种找客服，各种转介，光打电话就花我6小时好么！
各种网上查，当时花呗刚开，没有任何这方面信息
.......
......
.....
....
...
..
.
最后结果是这样的

“因为我身份泄露”，那么说这是我的问题？？？大哥了这是你支付宝实名认证根本没人把关好么，谁让你自己绑定2个账户的，还没有通知！
→_→
→_→
→_→
→_→

当然然后我就报警了，

北京警察够霸气，让我告支付宝，理由是支付宝没有任何证据证明是我花了钱！
事情已经过去2个月了，，支付宝花呗客服现在都没打电话催我还款。。。。。
我真的好受伤好么，怎么你就不打电话呢！不科学啊！我是欠钱的呀！
我多希望来个有分量的人和我好好“谈谈人生”
当初我发现这个问题，积极主动想解决，花了我6小时，跟无数客服反映，每转一个电话，我就重复一遍我的问题，换来的是让我还钱，，还钱还得把钱打到开通花呗的账户上。。。

一个正常的支付宝实名认证账户下会不会出现... 来自支付宝
我看了支付宝的公告，个人感觉没有解决问题，我是因为身份证掉过，然后被人开了一张银行卡，然后2个支付宝就绑定在一起了,然后花呗被刷，然后就没有然后了，，，，
支付宝的想法是有2重保护，一是你的身份证，二是要在银行开一张银行卡
这二者其实是重叠的，都是身份证而已。因为银行一线工作人员容易失误，官方规定是掉过的身份证不能办卡，柜台会显示2张身份证的有效期，很明显。
即便这样，我还是被河南某建行开了卡。
还有你被人在银行开户，你不会有任何信息。
这个事就是我身份证掉了，花呗被刷，然后你支付宝怪我？？！！！！！

知友2：黄晓

完全就是一条产业链嘛，坐等更多黑幕。


PS『301：黑市上支付宝的账号买卖已经不是新鲜事了，但是从上图可以看出，百度检索出来的结果中排名还比较靠前，同样也希望能有相关知情人士能透露更多黑幕信息。』

Ivony

支付宝的实名认证就是个笑话。
我老婆的身份证被别人认证了，结果要我老婆证明自己是自己，证明了还不算，别人认证的信息还有效，每次找回密码都找到别人邮箱去了。
所以果断把所有资金都转到微信去了。

知友：开飞机的小蜗牛

看完这个问题我赶紧看了一下我的支付宝，发现已经绑定了5个和我并不相关的子账户。打支付宝电话人工服务一直占线。明天再想办法联系支付宝。

（2015-10-10 21:45:22）再次查看该页面发现5个子账户已经看不到了，之前忘了截图了。
（2015-10-10 21:50:38）我尝试添加子帐号，提示“该账户不允许继续关联子账户”，说明我的帐号还是和普通有区别。目前帐号状态是：
在账户设置页面（登录 - 支付宝）显示已经关联5个帐号：
但是点击查看，却只能看到我自己的帐号：
点击添加账户后提示如下：

（2015-10-10 22:10:53）支付宝微博支付宝的微博_微博页面为空，刚开始我还以为是我网络的问题，打开控制台发现所有请求都成功，但是页面上没有东西，只是蓝色背景。

PS：有网友张龙评论：『悄悄修复？』

知友：杨晓宁

没遇到过这个问题，但最近的一件事让我觉得淘宝不靠谱。

是这样的，我同学不久前新买了一个手机号，自然也在淘宝上绑定了这个新的手机号。可是不久之后同学在登录时被提示密码错误，然后发现被别人改了密码。同学也不是安全意识很强烈的人，就把密码改了回来。但随后又遭遇了几次这种情况，便起了疑心，后来发现了缘由。原来是有人之前用这个手机号注册了淘宝账号，然后就把这个手机号弃用了，不过淘宝账号却还是原来的手机号。由于长时间无人使用这个手机号，通信公司便回收了这个手机号，然后卖给了我同学。虽然同学绑定了这个手机号，但是以这个手机号为账户的淘宝账户却是属于别人的，所以发生了上述这种情况。

为了解决这个情况，同学一度想过换号，不过考虑到换号的麻烦（这个手机号已经绑定了银行卡、微信等工具），我便建议他联系淘宝客服，好在最后解决了这个问题。

不过在这之后我便对淘宝的安全性产生了质疑，很难想象如果没解决这个问题的话会有什么严重的问题发生。

收集了这么多信息，301也发表下自己的看法。

1、首先，建议用户第一时间查看下自己的账户下是否存在有被恶意绑定的情况。『操作流程：登录支付宝 -> 账户管理 -> 账户设置 -> 实名账户』
2、建议支付宝的用户安装移动客户端。（Web端登陆支付宝，移动端会有登陆提醒，谨防万一）
3、支付宝作为国内第一的第三方支付平台，从安全性和体验上看支付宝还是走在最靠前的，同样也希望其他第三方支付平台进行自查，不要坐以待毙。
4、建议官方正视以上收集的相关问题，在第一篇内容发出后，301也收到了不少调侃，其中也有来自阿里风控部门某同学的吐槽，作为安全从业人员，我知道阿里的安全做得很不错，但是不要以为有所谓的风控机制就觉得忽视用户的感受。

5、『请不要把如何证明你妈是你妈这个脑残的问题扔给用户！！！』





最后，301也是支付宝的资深用户，网络的大部分消费基本在支付宝上，不要觉得我是支付宝黑，我是你的用户，自然在意你的安全，消费者也有义务监督企业的相关安全，这样你们的安全也能走得更远一些。

：）晚安。

点击原文可参与知乎社区讨论。

微信名：301在路上

微信ID：a301zls

❶ 点击历史信息，查看更多内容
❷ 长按右侧二维码，关注301在路上。

微信名：301

微信ID：2036234

❶ 点击历史信息，查看更多内容
❷ 长按右侧二维码，关注301个人微信

原文始发于微信公众号（301在路上）：支付宝实名认证漏洞续篇—大家说？