支付寶疑存認證保安漏洞 用太空卡可綁定信用卡交易 小心被盜用

撰文:鄭秋玲
出版:更新:

電子錢包流動支付日益普及,惟保安風險不容忽視。Fb專頁「前線科技人員」編輯今早(21日)發文表示,日前(19日)接連收到銀行短訊通知,有5筆信用卡與支付寶HK的交易記錄,共涉及2,213元,疑被人盜用。其事後用太空電話及太空卡開設支付寶HK戶口並綁定信用卡,結果發現過數後,已可立即透過二維碼,在支援的商戶消費,過程並無強制第二步認證。
有資訊保安專家表示,信用卡綁定手機號碼,是最有效及時防止被他人盜用。他提醒,該支付工具在首次登記時,會凍結$0.1以作授權憑證,並會按用戶登記的手機號碼發出短訊確認,若發現有異樣,便應即時聯絡銀行。
支付寶HK表示,經深入了解後,發現有人竊取了個別市民的信用卡資料後,試圖透過該平台進行未經授權的交易。如發現可疑交易,用戶可即時與信用卡公司聯絡或報警求助,支付寶HK亦會盡力配合警方的調查。

有用戶質疑支付寶HK欠身份認證,有保安漏洞。(Fb專頁「前線科技人員」圖片)

專頁編輯引述支付寶HK:近日收到不少類似投訴

「前線科技人員」編輯在fb專頁表示,自己從無安裝支付寶HK,其肯定過往消費,沒有涉事短訊的金額,5筆分別由16元至1,000元不等,懷疑信用於資料被盜,及支付寶HK身份認證方面有安全漏洞,故已即時聯絡銀行取消信用卡,並透過支付寶HK的客戶服務熱線要求跟進,期間獲職員告知,近日收到不少類似投訴。

他另外利用太空電話及太空卡開啟支付寶HK戶口,並綁定信用卡過數,包括到期日及安全碼,發現支付寶HK對新增信用卡的首次交易,並無要求信用卡第二重身分認證,而過數後雖不能提款或轉賬到銀行,但已可透過二維碼消費,如已經能夠在快餐店購買食品,全程無經過短訊認證。

漏洞:綁定信用卡毋須短訊認證

他認為,雙重認證安排是由發卡銀行與支付寶的共同決定,兩者都有責任,惟支付寶HK與其他電子錢包相比,並無強制要求信用卡公司做短訊認證,即信用卡資料一旦被盜,用戶以外的人都可以透過該平台消費。他表示,公開事件是希望支付寶可以加強認證,以免將來更多人「中招」。

香港資訊科技商會榮譽會長、數碼媒體專家方保僑,親身以中銀信用卡作測試。(資料圖片)

方保僑測​驗 需持卡者電話號碼驗證

香港資訊科技商會榮譽會長、數碼媒體專家方保僑,親身以中銀信用卡作測試,在支付寶HK戶口增加該張中銀信用卡時,按該銀行做法,是需要持卡者的電話號碼驗證;如輸入一個非銀行登記的手機號碼,支付寶會彈出系統通知,指「手機號碼與您在銀行登記的手機號碼不符」,而不能完成開設程序。惟部分銀行,則沒有此項驗證步驟。

登記系統有1毫子刷帳測試

方保僑提醒,信用卡綁定手機號碼,是最有效及時發現及防止被他人盜用。而該支付工具在首次登記時,為驗證綁定信用卡的有效性,會刷一次涉款0.1元的帳單,並會按用戶登記的手機號碼發出短訊確認,成功驗證後會退還,若發現自己未有收到該短訊,或者是相反無登記過該支付工具,卻收到該短訊,便應即時聯絡銀行。

支付寶HK︰建議與銀行確認聯絡方法準確無誤

支付寶HK回應事件表示,經深入了解後,發現有人於其他場合竊取了個別市民的信用卡卡號、到期日及安全碼,並試圖透過AlipayHK進行未經授權之交易,強調一直都有嚴格的保安措施,近期相關查詢宗數並無異常。

支付寶HK表示,採用的是業內通行的信用卡交易操作流程,所有通過該平台的信用卡扣款交易成功後,發卡銀行會發出短訊通知用戶,而當用戶於賬戶內連結信用卡時,AlipayHK亦會凍結$0.1以作授權憑證,信用卡公司則會發出短訊或電郵通知卡主。故不論是完成信用卡交易或連結信用卡,一旦發生盜用情況,用戶皆可即時獲悉。

如有可疑交易 會盡力配合警方調查

支付寶HK建議用戶為確保能夠成功收取相關短訊,與銀行確認聯絡方法準確無誤。如發現可疑交易,用戶可即時與信用卡公司聯絡,或報警求助,支付寶HK亦會盡力配合警方的調查。