支付宝关联账户漏洞 凸显网络实名认证难落实

　　【财新网】（见习记者 韩祎）一波未平一波又起。10月10日，新浪微博博主F9y4ng爆料称，发现其支付宝账户的实名认证信息下绑定了5个未知账户，但其完全没收到任何形式的确认或是告知信息，需要用户自己登录支付宝查看实名账户绑定情况；且不能直接解绑、需向支付宝客服申诉。

　　该博主认为，这意味着其他人可以利用他的实名认证身份信息贷款。支付宝人士对财新记者表示，“这的确是产品设计上不周到的地方，10月10日已经反馈给产品团队进行规划，将会从设计上进行改进”。

　　在一位公安部第三研究所专家看来，此前“知乎”上曝出的“蚂蚁花呗”因多次联系不上支付宝客户，而向其关联人追债，亦说明支付宝账户实名认证落实的效果并不好。“连借款人都搞不清、联系不上，说明不符合KYC原则，支付宝账户的身份识别有效性有多大？” KYC（知道你的客户）是国际反洗钱和实名认证开设银行账户的基本规则。显然支付宝账户的实名认证开户标准和KYC开户标准仍有较大差距。

　　目前支付宝是全球最大的第三方支付机构。来自支付宝数据显示，其实名认证账户约3亿多。

　　近年伴随中国互联网行业的高速发展，个人信息泄露亦呈高发趋势。分析人士称，随着支付宝的触角向金融业务不断延伸，这类由于个人信息泄露引发的风险漏洞会越来越多。

　　个人信息泄露隐患

　　10月8日，网友 F9y4ng发微博称在登录支付宝账户时，不经意发现自己的实名认证信息账户下被绑定了5个陌生的账户，也从未收到任何形式的确认或告知信息来校验，并且作为账户主体没有权限直接解绑。随后联系支付宝客服时，客服告诉他解绑功能还在研究，只能通过申诉后重新上传身份信息来解绑账户。

　　根据前述支付宝人士的回应，支付宝开通实名认证以来一直是这样的流程：当一位用户为支付宝账户申请实名认证信息时需要上传相应的信息，信息会被保存在支付宝系统中，当新的支付宝账户上传了和系统中一致的实名信息，则会被系统自动绑定于前述支付宝账户（可视为“主账户”）下，也不需要经过主账户的任何校验、没有任何通知。

　　10日下午，支付宝的官方微博发文回应此事，回答了事件的起因、网友的疑虑、出现风险的理赔办法。其中，支付宝将事件归因于个人信息泄露，称“如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在自身身份证等个人隐私信息泄露的情况，导致被关联认证”。

　　这一点恰恰是众多支付宝用户不解的地方，他们认为实名认证关联子账户时，并不需要经过主账户的确认存在很大的认证漏洞。

　　该支付宝人士坦言，当初在产品设计时，考虑到如果子账户关联主账户时再进行确认，会带来很多用户体验的不便，同时在初始实名认证时也已经有过校验步骤，实名身份被盗用做关联也是极个别的现象，所以没有将其考虑在产品设计中。

　　11日下午，支付宝官方微博再度发文回应此事，表示对可能存在异常关联认证情况的账户做了释放处理。前述支付宝人士将“释放处理”解释为“把异常关联解除掉”，但未透露解除了多少个账户。

　　当天，的确有很多支付宝用户在网络上留言，称自己账户下原本关联的陌生账户现在已经看不到了，支付宝方面表示这是系统核查的结果。但仍有支付宝用户表示仍旧在申诉解除绑定过程中。据前述支付宝人士透露，系统进行核查的过程是根据对比个人信息泄露名单来排查。“但不可能获得全部的个人信息泄露的名单，所以剩下没被核查到的用户仍需通过电话联系支付宝申诉来解除绑定”。

　　他所指的个人信息泄露名单是指从黑市交易的个人信息泄露名单。比如某网站上的账号密码泄露，个人信息非法交易。

　　事实上，近年随着互联网产业的蓬勃发展，个人信息泄露事件已呈高发趋势，呈现出泄密渠道多、范围广、程度深的特点，个人信息买卖已经形成巨大的黑色产业链信息库。公开数据显示，黑客实际掌握用户数据库的数量已超过1亿条，中国黑客的黑色产业链规模或高达上百亿元。

　　业内人士表示，很多机构过度收集个人信息，但并不是每个机构都有能力保护这些庞大的“个人信息隐私库”。由于《个人信息保护法》缺位，对被泄露者而言，不仅危害巨大，普遍“维权难”。

　　支付宝方面称，下一步将会在技术上改进，增加关联认证成功的通知提醒。目前支付宝技术团队还在进行研究，尚未最终确定增加关联时采用通知提醒还是校验方式。这意味着，在系统完善前仍会存在支付宝用户的主账户被关联账户但并未受到确认信息的情况。

　　此前央行的一份内部报告，列举了近年支付机构的风险案例和支付系统漏洞。比如今年1月，某支付机构泄露了上千万张银行卡信息，涉及全国16家银行，截至7月31日由于伪卡形成的损失已达3900多万元。

　　央行这份报告称，支付机构普遍未落实账户实名制、风险意识薄弱、夸大宣传、一味追求支付便捷而忽视支付安全。

　　该报告还列举了八类风险案件，其中之一是黑客手段盗取支付宝客户资金系列案。2015年6月，珠海市公安机关侦破一宗横跨广东、黑龙江、四川、上海和浙江等5省（市）的特大利用黑客手段盗取支付宝资金系列案件，打掉一个非法买卖公民个人信息、制作扫描探测软件和实施网络套现的犯罪团伙，犯罪嫌疑人涉嫌盗窃支付宝账户117个，涉案金额7万余元。此外，嫌疑人电脑硬盘中存储各类公民个人信息40多亿条，涉及支付宝、京东和Paypal等支付账户达1000多万个，初步估算账户涉及资金近10亿元。

　　支付宝账户漏洞

　　根据支付宝用户在10月10日的反映，要想解除实名认证账户下已经绑定的支付宝账户，必须联系支付宝客户提出申诉，然后重新上传身份证等证件通过人工核查来解除绑定。这令许多用户不解，他们认为自己作为实名认证的主账户应该有权删除关联的子账户、并禁止账户绑定功能。

　　前述支付宝人士对此解释说，由于需要核实是否是真正的本人，“所以需要人工进一步校验。”

　　他介绍，人工校验的要求是上传身份证、户口本、社保卡这类证件，并上传本人手持证件的图片，支付宝工作人员据此来核实申诉人和证件上的照片是否是同一人。

　　不过，实际操作中，财新记者了解到，有的支付宝用户被要求上传证件，但有的支付宝用户却告诉财新记者，“投诉流程免除上传前述证件”。这意味着，他人也可以利用买来的个人信息申请解除绑定，不需要上传证件就能重新确认支付宝账户。

　　“操作不一致，显然支付宝内部管理混乱。”一位业内人士表示。

　　此前10日支付宝的官方微博发文曾发文称，支付宝实名认证，一贯需要通过身份证、银行卡等多重信息的验证。

　　根据支付宝官方网站上对于实名认证等级及对应权益的介绍，实名认证分为三个等级，第一级实名校验只是身份验证，第二级和第三级分别会增加银行卡验证和证件审核环节。当实名认证达到第二、三等级后，除了可使用转账、还款、缴费外，还可以享受理财、保险、贷款、淘宝开店等更多服务。

　　发帖的新浪微博博主F9y4ng向财新记者透露，他于2010年就进行了实名认证，已达到第三等级，所以担心自己需要为子账户的不良信用负责，同时担心自己的个人征信信息会受到影响。

　　前述支付宝人士对此向财新记者解释，实名认证对于贷款理财来说是一个基础，属于必要条件，但不是充分条件，“不是说有了实名就一定有贷款”。支付宝官方微博也回应，被绑定在实名用户账户下的子账户无法借用户身份发起蚂蚁花呗等贷款服务，这些贷款业务的开通会比对更全面的用户信息、对用户的历史消费数据进行参照外，还有额外的风控手段进行把控。

　　但在业内人士看来，前述案例说明支付宝账户的身份认证漏洞，这将带来一系列连锁问题。“芝麻信用的个人征信报告数据主要基于阿里集团包括支付宝的封闭体系的信息，如果基于支付宝账户的个人信用被盗用，谁来为征信数据的真实性、准确性负责？如果芝麻信用提供的个人征信报告出错，应承担何种责任？有无纠错机制？”■