财新传媒
公司TMT正文

数十位支付宝用户被盗刷 或因个人信息泄露

2016年12月16日 18:38 来源于 财新网
可以听文章啦!
蚂蚁金服称目前初步判断是用户信息泄漏导致的账户被盗,用户损失将全额理赔,且目前看来不会波及更多用户
12月11日,数十位苏州用户的支付宝账户被盗,平均被盗刷金额数千元。 视觉中国

  【财新网】(记者 王琼慧)互联网的触角已经无处不在,以“便捷”为主要优势的移动支付风险亦存。12月11日,数十位苏州用户的支付宝账户被盗,平均被盗刷金额数千元。拥有超过4.5亿用户、并在2000元以下免密支付,支付宝用户数据安全风险受到关注。

  蚂蚁金服12月16日回应财新记者称,目前初步判断用户信息泄漏导致的账户被盗,目前已主动联系了苏州警方,并提供了相关侦查线索。但目前为止,尚不能确定数据泄漏的原因是第三方数据泄漏引发的“撞库”,亦或者是点击不安全网络链接或者下载了木马软件。

  蚂蚁金服方面强调,这些用户的损失均能获得全额理赔,且目前看来不会波及更多用户。

  对于支付宝2000元以下支付可以免密进行,被盗刷是否会波及更大范围?蚂蚁金服方面对财新记者解释,用户要盗刷支付宝前需经过两层安全检验。第一步是登录本身,如果有异地登录或者更换移动端,支付宝系统会进行风险判断。“比如说上一秒在北京,下一秒在上海,这就是有风险的账户,除了账号和密码,还需要双因子验证,比如说手机验证码的验证。所以并不是账号和密码泄漏,就可以登录。”蚂蚁金服方面称。

  而即使是登录账户之后,盗刷时进行支付本身也会再度进行安全验证。“我们会统计盗刷的特有的行为特征,如果有账户出现相似的行为特征,那么也会被要求输入账号密码,”蚂蚁金服方面表示:“所以通常来看,即使是账号密码丢失,也不一定会发生盗刷。这时候除非我拿到你的手机或者给你的手机植入木马,可以直接截获手机验证码。”

  蚂蚁金服提醒用户在设置移动支付账户的密码时,尽量注意不要使用相同的密码,此外定期更换并提高密码安全等级。

  上周末,“京东超过12G的数据疑似外泄”的文章广泛传播,并称数据包已经在黑市开始流通。京东官方连夜发布声明解释,称这些数据来源于2013年Struts 2的安全漏洞问题。当时大规模的互联网用户数据泄漏引起工信部介入调查。

  事实上,支付宝也是2013年的数据泄漏影响的平台之一,当时漏洞报告平台乌云发布漏洞报告称,千万量级的支付宝账户泄漏,被用于网络营销,但里面只有支付用户的账号,没有密码。当时支付宝否认存在漏洞。

  互联网上存在的巨量用户数据已经形成灰色产业链。阿里巴巴此前在其安全峰会上发布的数据显示,中国网络黑灰产业链的从业者已经超过了40万人,依托其进行网络诈骗的人数至少有160万,年产值超过1100亿元。

  正是为了防止电信诈骗、账户盗刷风险,12月1日起,央行关于个人银行账户分类管理的办法正式实施,要求支付宝、微信支付等支付机构为单位和个人开立支付账户时,与单位和个人签订协议,约定支付账户与支付账户、支付账户与银行账户之间的日累计转账限额和笔数,超出限额和笔数的,不得再办理转账业务。支付宝和微信均将账户单日转账笔数上限设置为100笔。

  OWASP(开放式Web应用程序安全项目)中国北京负责人陈亮告诉财新记者,目前各大互联网网站的监管力度已经比较强,新的数据很难再被泄露。用户应该加强自己的防范意识,比如三个月更换一次密码,不要多个账户使用同一密码等。同时,用户最好将账户与手机绑定,多一些联动监测帐号变换,尤其是异常登录提醒。

责任编辑:屈运栩 | 版面编辑:张柘
财新传媒版权所有。如需刊登转载请点击右侧按钮,提交相关信息。经确认即可刊登转载。
推广

财新微信