请选择 进入手机版 | 继续访问电脑版

抖音、美团、拼多多等APP被指支付安全存漏洞

2021-02-09 00:05:00 原作者: 编辑部 来自: 支付之家网 收藏 邀请

支付之家网(ZFZJ.CN)2月8日,微博用户张相虎律师666发布文章《抖音等多款APP支付安全有漏洞,提醒大家注意》称,抖音APP、美团APP、拼多多APP在支付方面存在逻辑设计缺陷,有可能造成重大财产安全隐患,导致手机所有人的财产损失。


张相虎以抖音APP为例,阐述了相关APP存在的具体安全逻辑设计缺陷:1、支付密码安全性低,容易被盗刷;2、重置密码流程易被攻破进而盗刷。

张相虎称,抖音APP在首次绑定银行卡时前置支付密码验证可以通过快捷绑卡绕过,仅需要通过手机短信验证码及手机所有人身份证号就可以实现快捷绑卡和盗刷。

步骤为【选择农业银行快捷绑卡】->【姓名和身份证号实名认证】->【短信验证码验证】-【设置支付密码】->绑卡成功并设置了支付密码->【成功充值零钱】->【成功购买抖币并打赏给主播实现盗刷】。

关于“重置密码流程易被攻破进而盗刷”方面,张相虎称,快捷绑卡的前置支付密码验证可以通过快捷绑卡绕过(不知道支付密码也可以通过快捷绑卡成功且可重置支付密码)

如果用户已设置支付密码,想要快捷绑卡时需要验证支付密码->【选择“忘记密码”】->进入银行卡绑定页面->【这次选择建设银行快捷绑卡】->【验证手机验证码快捷绑定储蓄卡】->【可以重置支付密码】。

张相虎认为,“别有用心之人知道手机所有人的身份信息后,利用抖音APP存在的上述支付安全漏洞盗取、骗取手机持有人的财产,造成手机所有人的财产损失”


与此同时,张相虎又用上述方式试验了微信、支付宝、美团、拼多多等APP安全性,发现微信和支付宝安全性较高,不论是在首次绑定银行卡还是在重置支付密码时,除了需要手机验证码和身份证号外,还需要其他只有手机所有人本人所有或者知道的信息,如支付密码、指纹、人脸等。而美团APP在首次绑定银行卡和重置支付密码时拼多多APP在首次绑定银行卡时也都存在安全隐患,即仅需要通过手机短信验证码及手机所有人身份证号就可以实现。


对此,张相虎建议:

(1)首次绑卡的快捷绑卡除了短信验证码、身份证号之外增加其他只有手机所有人本人所有或者知道的信息,如支付密码、指纹、人脸等。

(2)支付密码的重置不应仅依赖短信验证码、身份证号,需要增加只有手机所有人本人所有或者知道的信息如完整银行卡号并绑卡成功或指纹、人脸等。


支付之家网查阅公开资料获悉,张相虎毕业于西南政法大学,具有深厚的法学功底,2004年以后长期从事法律事务工作,现就职于江苏金汉都律师事务所。


值得注意的是,张相虎在发布文章的同时也@了抖音美团拼多多方面以及江苏消费维权在线截至发稿前,相关方面并未在该文章下进行回应。

科学技术与金融领域的融合创新,给支付服务带来了巨大的变化,移动支付安全也因此备受关注。


人们在享受便捷消费的同时,不法分子盗用用户个人信息、盗刷用户账户的案件也屡见不鲜。


有人分析,手机支付相关的病毒、木马等风险因素急剧增长,成为威胁用户资产非常重要的原因。垃圾短信、骚扰电话、诱骗欺诈、恶意扣费、隐私获取,是用户遇到最多的手机安全危害,同时在未遭遇安全危害的用户中也流传较广。恶意软件,钓鱼网站、山寨应用等也是手机支付的主要风险。


如今,越来越多的人已经习惯出门不带钱包,靠移动支付搞定一切。可人们一旦手机丢失或被窃,手机里的财产将受到极大的威胁。


去年10月份,一篇标题为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发关注和热议。


该文由一位信息安全专家根据亲身经历梳理。作者老骆驼表示,由于家人一部手机被盗,自己经历一场与一伙专业老练、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗智斗勇的事件。文章提到了众多企业,引发大家对财产安全的警惕和讨论。


老骆驼在文中提及,某支付公司绑定信用卡不验证有效日期等关键信息,只是以较为简单的身份信息+卡号+预留手机号码来审核。


如由巴伦·博·欧达尔执导的推理片《我是谁:没有绝对安全的系统》的电影名字一样,没有绝对安全的系统。正因为如此,相关企业更应该在追求绝对安全的道路上积极自查、整改,达到相对极致的安全,给所有用户实实在在的安全感。

支付之家网注意到,被张相虎“点名”存在支付安全漏洞的APP主要是抖音、美团拼多多三家公司。


而这三家公司在此前也陆续通过并购的方式或直接或曲线的摘得了支付牌照。


1.抖音与合众支付


抖音母公司字节跳动进军支付之心业内几乎“路人皆知”。


2018年1月,有消息称今日头条正在低调收购支付牌照,收购对象疑似为武汉合众易宝。


同年底,字节跳动及关联公司还申请了“岁岁通”、“多闪支付”、“多闪付”、“多闪钱包”等商标注册,其中岁岁通支付服务的提供方是武汉合众易宝。


彼时,用户在今日头条、西瓜视频、火山小视频等头条系平台上提现、发红包时,需进行实名认证和银行卡绑定。设置页明确显示,该项服务由合众易宝提供,用户需约定并同意《合众支付账户服务协议》、《合众支付账户隐私权协议》、《合众支付快捷支付协议》,方可进行下一步操作。而字节跳动将为用户接入与公司合作的第三方支付机构来提供支付服务,该类服务被纳入岁岁通服务的范畴。


2019年2月份,有消息称“北京字节跳动科技有限公司完成支付牌照收购”。


对此,字节跳动相关负责人回应媒体称,字节跳动和支付行业合作伙伴保持合作关系,春节红包所涉支付服务由多家持证支付机构共同提供,字节跳动与支付机构之间是独立的商业合作关系,网上有关“字节跳动完成支付牌照收购”的传闻不实。


随后没多久,字节跳动申请了“字节支付”商标注册,商标涵盖科学仪器、广告销售、金融物管、通讯服务、教育娱乐、网站服务、社会服务等多个大类。支付之家网查阅最新资料显示,目前上述提交申请的系列商标,已经在科学仪器、金融物管、通讯服务、教育娱乐等多个大类成功完成注册,获得商标注册证书。2020年11月18日,字节跳动还申请了“doupay”系列商标。


根据监管要求,未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。种种迹象表明,字节跳动迫切的需要这一纸支付牌照。


去年8月28日,武汉合众易宝科技有限公司完成工商变更,原股东中发实业(集团)有限公司退出,由天津同融电子商务有限公司持有100%股份。天津同融电子商务是北京石贝科技有限公司全资子公司,穿透以后,字节跳动创始人张一鸣是实际控制人。


显而易见,曲线摘得支付牌照的是张一鸣,而非字节跳动,也不是今日头条。


也就是说,眼下的字节跳动以及旗下分支机构仍然未获得《支付业务许可证》,也就意味着字节跳动公司“不得从事或变相从事支付业务”。


1月19日,抖音支付于抖音APP内正式上线。


抖音APP在支付环节,除支付宝、微信支付外,又增加了抖音支付,同时上线的还有信用分期产品Dou分期。目前抖音支付共支持十家银行卡的绑定。而Dou分期更类似于对标支付宝的“花呗”。


对于支付业务上线,抖音相关负责人回应媒体称,抖音支付作为目前若干主要支付方式的补充,是为了更好地服务抖音用户。

2.美团与钱袋宝支付


美团也早早的将支付牌照收入囊中。


2016年9月,美团完成对钱袋宝的全资收购,由此获得第三方支付牌照。


在收购支付牌照之前,美团踩过不少坑。王兴对支付必然是有执念的,无论是与阿里系的唇枪舌战还是后来的支付选择权之争亦或是自家支付产品的相继问世。


他没有错,至少从目前看来能与BAT并肩的话,支付业务必须要由自己来做。美团做的是本地化生活平台,获得的是大量的线下支付数据,这个核心的数据在此之前没有任何公司可以大量获得的。支付是起点,没有支付就没有后面的大数据、消费金融等等各种可能性。


无证经营支付业务是被监管明令禁止的,而合规的手段只有一个——支付业务许可证。监管方面曾多次表示,凡是从事金融业务必须持牌,如果从事第三方支付,则必须有相关的支付牌照,一旦游离在监管之外,风险可能随之而来。


有传言称,美团曾赴贵州希望获得支持以向央行申请支付牌照。据知情人透露,美团相关人士在2015年底还跑到贵阳市,找到专管金融的副市长,请求贵阳市政府支持美团向央行申请互联网支付牌照。但美团点评对此未予证实。


后来,悄然上线美团支付。


值得注意的是,早在2016年初,美团第三方支付结算业务就因"无证经营"被举报,监管方面还约谈并叫停了美团支付,美团将充值功能下线调整。


2016年2月29日下午,熊万里表示,已向央行等监管部门实名举报美团,称其在没有第三方支付牌照的情况下,却从事第三方支付结算业务,违反《非金融机构支付服务管理办法》,甚至涉嫌构成非法经营罪。


对此,美团回应称,这种说法是概念混淆,美团网并没有单独为美团平台以外的任何第三方提供支付结算业务。美团方面表示,通过合作方支付通道完成电商交易的支付环节是电商平台的惯常做法,此类方式和许多电商、在线旅游和出行打车等互联网公司的做法类似,都是为了服务消费者和商家。


随后同年6月份,有消息人士透露,央行近期已约谈并叫停美团支付,责令美团3个月内将支付功能下线整改。


既然有人举报没有第三方支付牌照却从事了支付业务,那美团就索性买下了一张。


2016年9月26日,美团点评正式对外公布已完成对第三方支付公司钱袋宝的全资收购。收购完成后,新美大正式获得第三方支付牌照。而据支付之家网(zfzj.cn)了解,新美大对钱袋宝的收购是上层领导的直接推动。


从被举报“无牌经营”,到“代收代付违规”,再到被质疑“有牌不用、违规二清”,美团支付之路走得并不顺利。


即便如此,美团在支付领域依然动作频频。

3.拼多多与付费通


彼时,刚刚成功登陆美国纳斯达克的拼多多争议不断,其中涉嫌“二清”的消息甚嚣尘上。


关于拼多多涉“资金二清”、“信息二清”等问题,业内人士发出质疑:拼多多作为无证机构,与支付机构合作模式存在违规,并且可能是央行大力整治和处罚的“二清”对象。


拼多多在打假时曾被质疑,从售假商家扣罚的罚款在退给消费者时“为什么不退现金,而是代金券”,拼多多创始人兼CEO黄峥曾回应称,是因为平台暂未获得支付牌照。


为此,拼多多试图通过收购来曲线获得第三方支付牌照同时使之合规。


早在2018年,上海付费通信息服务有限公司的股东上海易翼信息科技有限公司易主。


上海易翼由一家名为深圳启真科技有限公司全资控股,而这家公司的实际控制人是拼多多陈磊。通过参股,上海易翼已经成为付费通的第一大股东,持有其50.01%的股份。


此前有消息称,付费通的估价在5亿元至7亿元之间。


再往后,有商家举报拼多多涉嫌“二清”及无证经营支付业务,并出具了一份《举报意见答复意见书》。答复意见书显示,中国人民银行上海分行已确认上海寻梦信技术有限公司旗下电商平台“拼多多”的无证经营支付行为。


随后拼多多表示,已经引入具有支付和清算资质的平安银行进行全流程资金托管和结算,不在任何场景下触碰交易资金。


援引新京报消息,拼多多方面称若要按照条例实现完全合规,只能允许消费者和商家的资金在同一种支付牌照下执行“闭环运行”,然而这又与支付机构应当充分尊重客户自主选择权的规定存在一定矛盾。


因此,拼多多认为,按照目前的行业发展态势,在电商平台的综合解决方案上尤其是在网联平台出现前,各规定的执行和解读存在一些模糊和可能与现实矛盾的地方,电商行业的合规解决方案也一直在摸索和等待监管方面更细则的定论。


需要注意的是,拼多多本身并无支付牌照,获牌的关键在于需要成为支付牌照主体公司的大股东。付费通目前大股东虽然为上海易翼,可后者与拼多多之间并无股权关系。

相较于美团收购钱袋宝曲线获得支付牌照,字节跳动和拼多多则采取了一种“貌合神离”的方式,通过各自实控人摘得牌照。


有了支付牌照也仅仅是一张“入场券”,如何保护个人信息安全、确保“钱袋子”安全才应该是各大企业不懈追求的“源动力”。


支付安全无小事,合规经营是支付机构存续的底线和最基本要求,也是支付行业健康发展的基石。


年初,人民银行对外发布《非银行支付机构条例(征求意见稿)》提及,非银行支付机构应当遵循“了解你的客户”原则,按规定识别并核实用户身份,了解用户开户目的和交易背景,建立持续有效安全的身份识别机制


征求意见稿同时指出,非银行支付机构开展业务,应当遵守相关法律法规,遵循安全、高效、诚信和公平竞争的原则不得损害国家利益、社会公共利益和他人合法权益

支付之家公众号
该文章已有0人参与评论

请发表评论

全部评论

精彩阅读

排行榜

支付之家官方订阅

扫码微信公众号
给你想要与成长

中国金融支付行业门户网站
80027302
周一至周五 9:00-21:00
意见反馈:zql@zfzj.cn

扫一扫关注我们

鲁公网安备37010202001300号  鲁ICP备16029435号-1

©2017-2021 支付之家网(www.zfzj.cn)