18
本文作者: shotgun | 2015-10-10 23:59 |
本周四,有支付寶用戶(hù)突然發(fā)現(xiàn)自己的支付寶賬號(hào)突然多了五個(gè)綁定賬號(hào),而這些賬號(hào)都沒(méi)有經(jīng)過(guò)他本人的認(rèn)證(事件原文鏈接)。
換句話說(shuō),他是在完全不知情的情況下,其支付寶賬戶(hù)下就多了5個(gè)綁定賬戶(hù),而他本人也沒(méi)有收到任何形式的通知消息,包括短信、郵件、或者登錄后的站內(nèi)信息。
這位用戶(hù)的曬圖如下:
用戶(hù)在電話咨詢(xún)支付寶客服后發(fā)現(xiàn)解綁較為困難,多次溝通無(wú)效后,該用戶(hù)將整個(gè)過(guò)程發(fā)布到網(wǎng)上,隨后支付寶針對(duì)此次事件作出了澄清。不少用戶(hù)對(duì)支付寶的澄清表示不滿,引起了人們的廣泛關(guān)注。
而實(shí)名認(rèn)證的賬戶(hù)之所以讓用戶(hù)如此擔(dān)心的原因還有一個(gè),就是貸款也是在實(shí)名信息名下的,那么攻擊者可以用這些賬戶(hù)來(lái)貸款借錢(qián)?是否也意味著,別人可以輕易借殼于你的身份來(lái)貸款,而最終卻由你來(lái)還錢(qián)?
(雷鋒網(wǎng)注:支付寶隨后在官方的聲明中回應(yīng),關(guān)聯(lián)的陌生賬號(hào)不能以用戶(hù)的名義獲得貸款。
附回應(yīng)鏈接。)
此次事件的真相和具體技術(shù)細(xì)節(jié),其實(shí)阿里的各位同仁,特別是支付寶的安全團(tuán)隊(duì),會(huì)更加清楚,我過(guò)去和他們有過(guò)一些溝通,他們?cè)诩夹g(shù)上頗有自己的獨(dú)到之處。面向數(shù)億普通用戶(hù)的金融產(chǎn)品,如何平衡易用性和安全性,如何做好風(fēng)險(xiǎn)監(jiān)管,相信他們會(huì)更有發(fā)言權(quán)。
但本次事件究竟是如何從一個(gè)孤立事件變成了現(xiàn)在的軒然大波,整個(gè)處理過(guò)程之中有沒(méi)有值得改進(jìn)的地方?我想從風(fēng)險(xiǎn)管理的角度談?wù)勛约旱目捶ā?/strong>
我們知道阿里巴巴是一家科技公司,但是支付寶,則是一家互聯(lián)網(wǎng)金融公司,雖然使用了大量的IT技術(shù),卻不能改變它是一家以支付、借貸、投資管理、信用管理等業(yè)務(wù)為核心的現(xiàn)代金融公司,IT技術(shù)只是承載金融業(yè)務(wù)的工具和平臺(tái)。本次事件,是否有支付寶的某些部門(mén)對(duì)這個(gè)定位認(rèn)識(shí)不清,從而造成現(xiàn)在后果的可能性呢?
請(qǐng)先讓我們來(lái)回顧下歷史,因?yàn)闅v史總是驚人的相似。
大概在10多年前,傳統(tǒng)的金融行業(yè)經(jīng)歷了與今天支付寶事件類(lèi)似的情況:不少金融從業(yè)人員利用職務(wù)之便,使用第三方人員的身份信息,大量申請(qǐng)辦理信用卡,輕則套取新辦卡每張數(shù)十到上百元的補(bǔ)貼,重則進(jìn)行惡意透支套現(xiàn),給銀行帶來(lái)了重大損失,而信息被盜取者也遇到了不少麻煩。
之所以會(huì)出現(xiàn)這種情況,是因?yàn)楫?dāng)時(shí)信用卡業(yè)務(wù)的發(fā)展尚處于野蠻生長(zhǎng)期,各家銀行均把圈地發(fā)展用戶(hù)數(shù)作為了首要目標(biāo),一時(shí)之間卡片漫天,甚至出現(xiàn)過(guò)一個(gè)普通的工薪收入者手上有五六張不同信用卡的情況。
為了給發(fā)展用戶(hù)提供便利,很多銀行都降低了申請(qǐng)門(mén)檻,可以沒(méi)有良好的信用記錄、可以不需要本人在場(chǎng)、可以不考慮還款能力等等,為后來(lái)的各種信用卡違規(guī)犯罪開(kāi)啟了方便之門(mén)。
而這與如今互聯(lián)網(wǎng)金融強(qiáng)勢(shì)崛起的情況何其相似:
由于互聯(lián)網(wǎng)金融的崛起,各家公司為了擴(kuò)大用戶(hù)數(shù),提高交易金額,紛紛降低門(mén)檻,申請(qǐng)過(guò)程更容易、使用更容易,注銷(xiāo)更困難、解綁更困難,一切都是為了快速擴(kuò)張服務(wù)。
就本次事件來(lái)看,支付寶,或者說(shuō)至少是支付寶的某個(gè)歷史版本,存在著用戶(hù)身份驗(yàn)證不完全即可綁定賬號(hào)的潛在風(fēng)險(xiǎn)。這也許是為了提高產(chǎn)品使用體驗(yàn)而作出的妥協(xié),或者是某個(gè)歷史版本的安全漏洞。用戶(hù)方也必然存在某種疏忽(比如個(gè)人信息泄漏,或者賬號(hào)密碼/郵箱泄漏)才有可能導(dǎo)致這個(gè)結(jié)果。
作為一家技術(shù)公司,當(dāng)然可以說(shuō)產(chǎn)品不可能沒(méi)有安全漏洞,而且也可以清晰地通過(guò)找到用戶(hù)方的責(zé)任來(lái)對(duì)后果進(jìn)行免責(zé)。但是作為一家金融公司,特別是創(chuàng)新型的金融公司,首先要考慮的則是用戶(hù)的安全體驗(yàn)對(duì)新業(yè)務(wù)推廣的正面和負(fù)面作用。
新業(yè)務(wù)的推廣需要改變用戶(hù)的使用習(xí)慣,并且克服用戶(hù)對(duì)新技術(shù)的恐懼,而信息安全問(wèn)題恰好是其中會(huì)起到關(guān)鍵作用的一個(gè)點(diǎn),不解決用戶(hù)對(duì)信息安全的擔(dān)憂,新業(yè)務(wù)就很難大規(guī)模的推廣。上個(gè)世紀(jì)美國(guó)的銀行為了推廣信用卡所采取的各種安全保障措施就是一個(gè)很好的例子。
而在用戶(hù)投訴階段,客服人員是否清楚現(xiàn)有產(chǎn)品和歷史產(chǎn)品的安全問(wèn)題?是否能夠通過(guò)有效的溝通安撫用戶(hù)的情緒,并且及時(shí)地協(xié)助用戶(hù)解決問(wèn)題?
互聯(lián)網(wǎng)金融的優(yōu)勢(shì)是采用互聯(lián)網(wǎng)技術(shù)能夠同時(shí)地服務(wù)海量的用戶(hù),但是在風(fēng)險(xiǎn)管理和用戶(hù)體驗(yàn)管理上,僅憑自動(dòng)化的機(jī)器,有時(shí)是不能滿足用戶(hù)需求的。如果用戶(hù)的滿意度下降,前期辛辛苦苦發(fā)展來(lái)的用戶(hù)群就會(huì)逐漸流失。
而互聯(lián)網(wǎng)的特性又使得負(fù)面情緒和事件會(huì)被無(wú)限放大,從而引入了商譽(yù)風(fēng)險(xiǎn),一旦危機(jī)公關(guān)措施不當(dāng),商譽(yù)風(fēng)險(xiǎn)的損失將遠(yuǎn)超過(guò)技術(shù)風(fēng)險(xiǎn)。
本次事件中,支付寶的危機(jī)公關(guān)團(tuán)隊(duì)雖然響應(yīng)及時(shí),但是卻未能有效地安撫用戶(hù)的情緒,也未能消除用戶(hù)對(duì)安全問(wèn)題的疑慮,反而留下了撇清推卸責(zé)任的印象,整個(gè)溝通過(guò)程和方法是否過(guò)于以自我為中心?并未能考慮到用戶(hù)的體驗(yàn)和心理接受程度?這些都是值得我們深思和引以為鑒的。
從監(jiān)管角度來(lái)說(shuō),監(jiān)管措施往往是落后于金融業(yè)務(wù)創(chuàng)新的。
新興的互聯(lián)網(wǎng)金融恰好處于金融監(jiān)管的灰色地帶,現(xiàn)有的監(jiān)管措施并不能有效地防范互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn),這方面對(duì)監(jiān)管機(jī)構(gòu)盡快拿出新的風(fēng)控措施提出了挑戰(zhàn)。同時(shí)也更加要求行業(yè)龍頭擔(dān)負(fù)起責(zé)任,為整個(gè)產(chǎn)業(yè)的健康有序發(fā)展作出更大的貢獻(xiàn)。
從個(gè)人角度來(lái)說(shuō),應(yīng)注意以下幾點(diǎn):
1、使用互聯(lián)網(wǎng)金融產(chǎn)品時(shí)要對(duì)可能面臨的信息安全風(fēng)險(xiǎn)有著充分的認(rèn)識(shí),對(duì)自己的風(fēng)險(xiǎn)承擔(dān)能力也有著足夠的了解。
2、應(yīng)該要保護(hù)好自己的個(gè)人隱私,使用手機(jī)拍攝證件時(shí)要注意關(guān)閉云備份,使用完要及時(shí)刪除,也不要隨便將證件照上傳到不可信的網(wǎng)站。
3、盡可能使用復(fù)雜密碼,定期更換密碼,使用雙重認(rèn)證(例如USB KEY)。
4、盡可能使用專(zhuān)用設(shè)備進(jìn)行金融操作,而不是與平時(shí)上網(wǎng)或者游戲的設(shè)備混用,特別盡量不要把密保手機(jī)用來(lái)直接進(jìn)行交易。用來(lái)進(jìn)行金融操作的手機(jī)不要安裝非官方的應(yīng)用。
5、遇到安全問(wèn)題之后不要恐慌,及時(shí)有效地與官方溝通,創(chuàng)新業(yè)務(wù)的一個(gè)好處就是為了確保業(yè)務(wù)的順利推廣,前期廠商往往會(huì)對(duì)用戶(hù)的風(fēng)險(xiǎn)進(jìn)行兜底,所以良好有效的溝通后,實(shí)際損失并不會(huì)太嚴(yán)重。如果金額巨大,可以及時(shí)取證公證、并向監(jiān)管機(jī)構(gòu)或者消費(fèi)者協(xié)會(huì)和媒體進(jìn)行投訴。
總的來(lái)說(shuō),其實(shí)支付寶本身安全性挺高,只是在其功能設(shè)計(jì)上暴露出了一些問(wèn)題,不過(guò)后續(xù)的措施又防止了損失,所以主要還是在于用戶(hù)的使用環(huán)境。當(dāng)然,此次用戶(hù)個(gè)人信息被盜,而支付寶沒(méi)有拒絕用被盜信息注冊(cè)的多個(gè)賬戶(hù),目前雖然并不會(huì)產(chǎn)生嚴(yán)重后果,但是金融的風(fēng)險(xiǎn)監(jiān)管問(wèn)題不容忽視。希望本文能夠引起對(duì)金融產(chǎn)品安全問(wèn)題的注意。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。