日前,网络微博上流传一篇来自网民F9y4ng的文章《支付宝实名认证的惊天漏洞,还原整个事件过程,以及支付宝客服的处理手段,恳请各大媒体给予帮助》,曝光了支付宝实名认证绑定帐号的漏洞。
上周四(10月8日),登陆支付宝后无意间打开支付宝实名认证页面,发现如下情况:
日前,网络微博上流传一篇来自网民F9y4ng的文章,曝光了支付宝实名认证的惊人漏洞。(网络图片)
我的实名认证信息下多出了5个未知帐户。作为帐户主体,我完全不知道是在什么时间,就有了这5个绑定帐户,我也完全没收到任何形式的确认或是告知信息,通知我的实名认证帐户下绑定了以上5个帐户。是的,你没看错,不论是短信、邮件或者是登陆后的站内信息都没有。如果不是当时偶然的机会点到实名认证的链接,我可能一辈子也不知道自己的主帐户下绑定如此多不属于我个人的子帐户。
那么实名认证的账户都能干什么呢?
日前,网络微博上流传一篇来自网民F9y4ng的文章,曝光了支付宝实名认证的惊人漏洞。(网络图片)
“没错,贷款也是放到你的实名信息名下的。别人拿的身分贷款,你来还。”于是乎,当机立断联系支付宝客服,反映相关情况,支付宝客服线上客服给出了以上答复。
日前,网络微博上流传一篇来自网民F9y4ng的文章,曝光了支付宝实名认证的惊人漏洞。(网络图片)
跟线上客服沟通过之后,我彻底跪了,不能解绑?还在研究?!
立刻,马上电话95188,连续语音导航N次,在等待了漫长的十分钟时间后,终于接通了人工客服,立刻反映情况,客服连续转了N个主管和领导,最后告知我,支付宝帐户被别人绑定了子帐户,你需要申诉解除绑定,而且责任不在于支付宝。
当时我就傻了,责任不在支付宝?那就是在我啰?问题来了:
1. 支付宝的实名认证,我在2010年就完成了身分证信息、银行卡信息的认证,为什么别人还能附加在我已经认证过的信息下?
2. 实名认证的子帐户绑定流程是否存在严重的漏洞?任何人只要伪造某人的身分信息,只要提交的认证材料和已实名帐户的信息一致就可以直接附加子帐户,不需要原有实名帐户的确认?
3. 当我的实名帐户被绑定了其它子帐户时,为什么没有收到任何形式的确认信息,注册过的手机、邮件、已经主帐户登录支付宝后的站内信都没有任何形式的提示?不确认就随意附加帐户到别人的实名认证帐户下是不是流氓行为?
4. 我作为实名认证的主帐户,为什么不能删除已授权的子帐户,并禁止帐户绑定功能?支付宝是不是在刻意制造漏洞?
带着以上问题,我在周四当天晚上提交了支付宝的报案信息,于今天早上9:23,接到支付宝客服中心某程姓客服的电话,电话一接通就是要求我重新上传身分证,根本不回答我的疑问。其明确的表示:
第一、支付宝的实名认证绑定流程不需要已实名认证帐户的确认,也不需要登陆已实名认证帐户,只要申请者提交身分信息和已认证帐户一致就默认通过认证绑定。
第二、支付宝实名帐户绑定功能没有短信、邮件、站内通知等形式的实时通知,需要用户自己登陆支付宝查看实名帐户绑定情况。
第三、想删除子帐户,你就必须申诉,并重新上传身分证。
第四、这件事情上,支付宝没有一点责任,全部责任都在用户。
本着先解决风险问题的前提,准备提出申诉,先把绑定帐户取消掉,然后再去支付宝追究责任。于是开始申诉流程,接下来我就遇到如下情况:
日前,网络微博上流传一篇来自网民F9y4ng的文章,曝光了支付宝实名认证的惊人漏洞。(网络图片)
到此,我就彻底绝望、崩溃了。
这还是alibaba(阿里巴巴)集团下的支付宝?全国最大的第三方支付公司?太不可思议。
我的实名认证帐户在我完全不知情的情况下被绑定了5个非本人帐号,而且本人并不知情。在我发现该情况后,作为已实名帐户的主帐户,还不能对我的实名信息帐户进行处理?致电支付宝客服,得到的结果是需要重新上传身分信息。我真的搞不懂,我遇到的问题和重新上传身分信息有什么关系,我的帐户已经是实名认证过的主体帐户,为什么还要上传,这能证明什么?我是我吗?
另外,这一次我为了删除非授权绑定的子帐户上传了身分信息,下次又有帐户绑定进来,我是不是还要继续申诉,继续上传,因为支付宝的实名认证子帐户绑定根本不需要主帐户的任何确认,这是不是支付宝的问题?难道还是我的错?
由此,可以看出,支付宝实名认证系统存在着重大漏洞,帐户的实名信息绑定不需要已实名认证帐户的确认权,只要信息一致就直接绑定,在当前没有个人隐私的社会背景下仅靠身分信息就认定帐户所属或绑定,难免太儿戏了。
整个事件以支付宝客服中断了我的电话作为结束,而就此告一段落。对此,我将继续追究,并请求媒体方面的帮助,请各界媒体联系我,谢谢。
最后,再次提醒各位支付宝用户:请立刻检查你的实名认证信息下是否存在其他人的帐户绑定。如果有,立刻走投诉流程,虽然没有什么用,但这也算是今后法律流程上的必要操作。不要等到你有重大财产损失或是背负了别人的贷款后再去追究,那一切就都晚了。