第三方支付安全问题频现 加强监管刻不容缓

17.03.2016  21:37

原标题: 第三方支付安全问题频现 加强监管刻不容缓

  2016年才过了不到四分之一,有关第三方支付安全问题的报道就已层出不穷。第三方支付平台无牌照经营、支付渠道把关随意、支付系统安全漏洞频现等,给违法犯罪分子以可趁之机,欺诈行为花样百出。

  在民众对快捷支付需求与日俱增的背景下,第三方支付平台如雨后春笋般涌现。但作为新生事物的第三方支付市场初具雏形,现有的平台实力参差不齐、信誉更是无法得到保障。部分第三方支付平台在自身潜质不具备的情况下,甚至从单纯提供支付服务延伸至资产管理、理财等领域。

  在此严峻形势下,加强对第三方支付监管的呼声越来越大。以下是记者整理的今年近三个月以来,第三方支付遭投诉的相关案例,由此可见一斑。

  支付宝“补借条”,存在产生虚假借条风险

  据中新网1月11日报道,福建建瓯的徐先生在网上向陌生人借款,钱没借到,却产生了15000元的借条,从而背上了15000元的“债务”。当他想通过支付宝还上自己的信用卡借款时,却被支付宝强制扣款还给对方。

  徐先生根本没有收到对方的借款,支付宝也体现不到资金流向,为何还要扣款?支付宝客服对此解释称,这属于“补借条”,借款不需经过支付宝平台,但支付宝会认定“借条”系统产生的“借条”,至于“借条”是怎么产生的他们不管。

  (注:支付宝借条平台分为“借条”和“补借条”两种。“借条”通过支付宝转借款给对方,而“补借条”则是双方私下交易,支付宝上体现不到现金流。另外,“补借条”仅限于支付宝好友之间,如果双方不是好友便不可实现。)

  经警方调查,犯罪分子在骗取徐先生支付宝的账号和密码后,利用支付宝新推出服务平台的漏洞,产生虚假的“借条”,借助支付宝的规则骗取钱财。

  乌云平台爆出多家支付公司存在漏洞

  1月18日到25日短短一周内,乌云平台(注:厂商和安全研究者之间的安全问题反馈平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。)密集爆出多家支付机构支付安全存在漏洞,这些漏洞主要涉及用户数据、充值卡密、交易流水泄露等问题,并得到这些支付公司的确认。

  1月18日,乌云“路人甲”曝光了开联通网络技术服务有限公司存在某业务系统漏洞导致Getshell(涉及大量用户数据/近两千万的充值卡密等)。

  1月19日,乌云平台称银盈通支付有限公司多站漏洞导致各种用户数据存在泄露风险。同日,普天银通支付有限公司WWW主站Getshell(涉及大量商户信息/大量交易流水/内部民生银行代付接口)存在漏洞。

  1月25日,首信易支付也被爆出支付安全系统存在问题。其多站漏洞SQL注入、后台管理弱口令以及PMA未授权访问等漏洞也极易引发支付风险。

  通联支付涉嫌pos机收单业务违规,遭多名商户实名举报

  2月21日,通联支付遭多名商户实名举报。举报原因是,商户投诉从代理商手中购买的通联支付POS机,在使用一段时间后资金无法到账,被代理商卷款420多万元跑路。调查后发现,未到账款项是由于通联支付代理商勤丰华能实际控制人鲍作健,将商户资金转移到个人账户。

  尽管通联支付认为勤丰华能系特约商户,其违法违规卷跑商户资金与公司无关。不过,这一说法却未能得到商户们的认同。同时,商户们还详尽地罗列出对通联支付质疑点,主要包括通联支付作为收单机构未履行相应责任,存在违规发展商户、违规售卖POS机终端,隐匿数据逃避监管,隐瞒重大风险事件等。

  此外,商户们表示此次卷款跑路之人以前是有过犯罪记录,通联支付没有切实履行对特约商户的风险信息进行查询而贸然开通支付通道,进而为此次事件埋下隐患。

  根据《银行卡收单业务管理办法》,商户及其法定代表人或负责人在中国人民银行指定的风险信息管理系统中存在不良信息的,收单机构应当谨慎或拒绝为该商户提供银行卡收单服务。

  无第三方支付牌照,美团涉嫌开展资金支付结算业务

  据财新网2月29日报道,当天微博实名认证为律师熊万里的用户@熊大律师发布微博称,其本人已向央行等监管部门实名举报,美团在没有第三方支付牌照的情况下,却从事第三方支付结算业务,已经违反了《非金融机构支付服务管理办法》,甚至涉嫌构成非法经营罪。

  财新记者调查后发现,美团在团购、充值购买、优惠买单三项业务中,均需经历“用户支付-美团网-商家”这一资金流向的过程,美团网实际上在交易双方之间进行了资金转移行为。美团在未取得支付牌照的情况下,涉嫌违法开展资金支付结算业务。

  支付宝被盗刷25000元,支付宝官微致歉

  2月28日,网友@聂小刚 在微博发布长文《我用十天追回支付宝盗刷款25000元的奇葩经历》,讲述了自己支付宝被盗刷而又重新追回的详细过程。文章发布之后立刻引起网友热议,文章阅读超过285万。随后包括中国青年网在内的多家媒体对此事件进行了报道。

  支付宝官方在3月12日,发布长微博,对此事进行了回应,称该用户在转赠手机时,曾将自己的开机密码和锤子手机的云账户密码告诉给了买家,从而导致盗用者利用这些信息破解了支付宝账户。但对于该用户账户在被他人操作时,未收到手机提醒一事,支付宝承认是由于自己没有及时检测到这个风险导致。