科客點(diǎn)評(píng)：是有要嚇一跳的意思啦，網(wǎng)絡(luò)支付的隱患還望各單位盡速解決咯！

     本周四，有支付寶用戶突然發(fā)現(xiàn)自己的支付寶賬號(hào)突然多了五個(gè)綁定賬號(hào)，而這些賬號(hào)都沒有經(jīng)過他本人的認(rèn)證。換句話說，他是在完全不知情的情況下，其支付寶賬戶下就多了5個(gè)綁定賬戶，而他本人也沒有收到任何形式的通知消息，包括短信、郵件、或者登錄后的站內(nèi)信息。

     用戶在電話咨詢支付寶客服后發(fā)現(xiàn)解綁較為困難，多次溝通無效后，該用戶將整個(gè)過程發(fā)布到網(wǎng)上，隨后支付寶針對(duì)此次事件作出了澄清。不少用戶對(duì)支付寶的澄清表示不滿，引起了人們的廣泛關(guān)注。

     而實(shí)名認(rèn)證的賬戶之所以讓用戶如此擔(dān)心的原因還有一個(gè)，就是貸款也是在實(shí)名信息名下的，那么攻擊者可以用這些賬戶來貸款借錢？是否也意味著，別人可以輕易借殼于你的身份來貸款，而最終卻由你來還錢？

     此次事件的真相和具體技術(shù)細(xì)節(jié)，其實(shí)阿里的各位同仁，特別是支付寶的安全團(tuán)隊(duì)，會(huì)更加清楚，我過去和他們有過一些溝通，他們?cè)诩夹g(shù)上頗有自己的獨(dú)到之處。面向數(shù)億普通用戶的金融產(chǎn)品，如何平衡易用性和安全性，如何做好風(fēng)險(xiǎn)監(jiān)管，相信他們會(huì)更有發(fā)言權(quán)。

     但本次事件究竟是如何從一個(gè)孤立事件變成了現(xiàn)在的軒然大波，整個(gè)處理過程之中有沒有值得改進(jìn)的地方?我想從風(fēng)險(xiǎn)管理的角度談?wù)勛约旱目捶ā?/p>

     我們知道阿里巴巴是一家科技公司，但是支付寶，則是一家互聯(lián)網(wǎng)金融公司，雖然使用了大量的IT技術(shù)，卻不能改變它是一家以支付、借貸、投資管理、信用管理等業(yè)務(wù)為核心的現(xiàn)代金融公司，IT技術(shù)只是承載金融業(yè)務(wù)的工具和平臺(tái)。本次事件，是否有支付寶的某些部門對(duì)這個(gè)定位認(rèn)識(shí)不清，從而造成現(xiàn)在后果的可能性呢？

     請(qǐng)先讓我們來回顧下歷史，因?yàn)闅v史總是驚人的相似。

     大概在10多年前，傳統(tǒng)的金融行業(yè)經(jīng)歷了與今天支付寶事件類似的情況：不少金融從業(yè)人員利用職務(wù)之便，使用第三方人員的身份信息，大量申請(qǐng)辦理信用卡，輕則套取新辦卡每張數(shù)十到上百元的補(bǔ)貼，重則進(jìn)行惡意透支套現(xiàn)，給銀行帶來了重大損失，而信息被盜取者也遇到了不少麻煩。

     之所以會(huì)出現(xiàn)這種情況，是因?yàn)楫?dāng)時(shí)信用卡業(yè)務(wù)的發(fā)展尚處于野蠻生長(zhǎng)期，各家銀行均把圈地發(fā)展用戶數(shù)作為了首要目標(biāo)，一時(shí)之間卡片漫天，甚至出現(xiàn)過一個(gè)普通的工薪收入者手上有五六張不同信用卡的情況。

     為了給發(fā)展用戶提供便利，很多銀行都降低了申請(qǐng)門檻，可以沒有良好的信用記錄、可以不需要本人在場(chǎng)、可以不考慮還款能力等等，為后來的各種信用卡違規(guī)犯罪開啟了方便之門。

     而這與如今互聯(lián)網(wǎng)金融強(qiáng)勢(shì)崛起的情況何其相似：

     由于互聯(lián)網(wǎng)金融的崛起，各家公司為了擴(kuò)大用戶數(shù)，提高交易金額，紛紛降低門檻，申請(qǐng)過程更容易、使用更容易，注銷更困難、解綁更困難，一切都是為了快速擴(kuò)張服務(wù)。

     就本次事件來看，支付寶，或者說至少是支付寶的某個(gè)歷史版本，存在著用戶身份驗(yàn)證不完全即可綁定賬號(hào)的潛在風(fēng)險(xiǎn)。這也許是為了提高產(chǎn)品使用體驗(yàn)而作出的妥協(xié)，或者是某個(gè)歷史版本的安全漏洞。用戶方也必然存在某種疏忽（比如個(gè)人信息泄漏，或者賬號(hào)密碼/郵箱泄漏）才有可能導(dǎo)致這個(gè)結(jié)果。

     作為一家技術(shù)公司，當(dāng)然可以說產(chǎn)品不可能沒有安全漏洞，而且也可以清晰地通過找到用戶方的責(zé)任來對(duì)后果進(jìn)行免責(zé)。但是作為一家金融公司，特別是創(chuàng)新型的金融公司，首先要考慮的則是用戶的安全體驗(yàn)對(duì)新業(yè)務(wù)推廣的正面和負(fù)面作用。

     新業(yè)務(wù)的推廣需要改變用戶的使用習(xí)慣，并且克服用戶對(duì)新技術(shù)的恐懼，而信息安全問題恰好是其中會(huì)起到關(guān)鍵作用的一個(gè)點(diǎn)，不解決用戶對(duì)信息安全的擔(dān)憂，新業(yè)務(wù)就很難大規(guī)模的推廣。上個(gè)世紀(jì)美國(guó)的銀行為了推廣信用卡所采取的各種安全保障措施就是一個(gè)很好的例子。

     而在用戶投訴階段，客服人員是否清楚現(xiàn)有產(chǎn)品和歷史產(chǎn)品的安全問題？是否能夠通過有效的溝通安撫用戶的情緒，并且及時(shí)地協(xié)助用戶解決問題？

     互聯(lián)網(wǎng)金融的優(yōu)勢(shì)是采用互聯(lián)網(wǎng)技術(shù)能夠同時(shí)地服務(wù)海量的用戶，但是在風(fēng)險(xiǎn)管理和用戶體驗(yàn)管理上，僅憑自動(dòng)化的機(jī)器，有時(shí)是不能滿足用戶需求的。如果用戶的滿意度下降，前期辛辛苦苦發(fā)展來的用戶群就會(huì)逐漸流失。

     而互聯(lián)網(wǎng)的特性又使得負(fù)面情緒和事件會(huì)被無限放大，從而引入了商譽(yù)風(fēng)險(xiǎn)，一旦危機(jī)公關(guān)措施不當(dāng)，商譽(yù)風(fēng)險(xiǎn)的損失將遠(yuǎn)超過技術(shù)風(fēng)險(xiǎn)。

     本次事件中，支付寶的危機(jī)公關(guān)團(tuán)隊(duì)雖然響應(yīng)及時(shí)，但是卻未能有效地安撫用戶的情緒，也未能消除用戶對(duì)安全問題的疑慮，反而留下了撇清推卸責(zé)任的印象，整個(gè)溝通過程和方法是否過于以自我為中心？并未能考慮到用戶的體驗(yàn)和心理接受程度？這些都是值得我們深思和引以為鑒的。

     從監(jiān)管角度來說，監(jiān)管措施往往是落后于金融業(yè)務(wù)創(chuàng)新的。

     新興的互聯(lián)網(wǎng)金融恰好處于金融監(jiān)管的灰色地帶，現(xiàn)有的監(jiān)管措施并不能有效地防范互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn)，這方面對(duì)監(jiān)管機(jī)構(gòu)盡快拿出新的風(fēng)控措施提出了挑戰(zhàn)。同時(shí)也更加要求行業(yè)龍頭擔(dān)負(fù)起責(zé)任，為整個(gè)產(chǎn)業(yè)的健康有序發(fā)展作出更大的貢獻(xiàn)。

     從個(gè)人角度來說，應(yīng)注意以下幾點(diǎn)：

     1、使用互聯(lián)網(wǎng)金融產(chǎn)品時(shí)要對(duì)可能面臨的信息安全風(fēng)險(xiǎn)有著充分的認(rèn)識(shí)，對(duì)自己的風(fēng)險(xiǎn)承擔(dān)能力也有著足夠的了解。

     2、應(yīng)該要保護(hù)好自己的個(gè)人隱私，使用手機(jī)拍攝證件時(shí)要注意關(guān)閉云備份，使用完要及時(shí)刪除，也不要隨便將證件照上傳到不可信的網(wǎng)站。

     3、盡可能使用復(fù)雜密碼，定期更換密碼，使用雙重認(rèn)證（例如USB KEY）。

     4、盡可能使用專用設(shè)備進(jìn)行金融操作，而不是與平時(shí)上網(wǎng)或者游戲的設(shè)備混用，特別盡量不要把密保手機(jī)用來直接進(jìn)行交易。用來進(jìn)行金融操作的手機(jī)不要安裝非官方的應(yīng)用。

     5、遇到安全問題之后不要恐慌，及時(shí)有效地與官方溝通，創(chuàng)新業(yè)務(wù)的一個(gè)好處就是為了確保業(yè)務(wù)的順利推廣，前期廠商往往會(huì)對(duì)用戶的風(fēng)險(xiǎn)進(jìn)行兜底，所以良好有效的溝通后，實(shí)際損失并不會(huì)太嚴(yán)重。如果金額巨大，可以及時(shí)取證公證、并向監(jiān)管機(jī)構(gòu)或者消費(fèi)者協(xié)會(huì)和媒體進(jìn)行投訴。

     總的來說，其實(shí)支付寶本身安全性挺高，并沒有什么問題，主要還是在于用戶的使用環(huán)境。當(dāng)然，此次用戶個(gè)人信息被盜，而支付寶沒有拒絕用被盜信息注冊(cè)的多個(gè)賬戶，目前雖然并不會(huì)產(chǎn)生嚴(yán)重后果，但是金融的風(fēng)險(xiǎn)監(jiān)管問題不容忽視。希望本文能夠引起對(duì)金融產(chǎn)品安全問題的注意。關(guān)注科客網(wǎng)官方微信kekebat,獲取更多精彩資訊。(雷鋒網(wǎng)，原標(biāo)題《“實(shí)名認(rèn)證驚天漏洞”背后，支付寶搞錯(cuò)了什么？》）