立場新聞 Stand News

懷疑支付寶(香港)存在嚴重安全漏洞

2018/7/21 — 10:17

前線科技人員製圖

前線科技人員製圖

*** 以下是前線科技人員小編的親身經歷 ***

前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。

小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,顯然騙徒所過數的金額已觸及二段認證的的額度,故未能成功過數。

廣告

今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡過數,確認了以下的事實:

1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料。
3)過數後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費
4)支付寶(香港)對新增信用卡的首次交易,並沒有要求信用卡以二段認證身份
5)支付寶(香港)對可疑的過數手法,例如新戶口在短時間內多次過數,並沒有任何阻礙或要求進一步認證

廣告

除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功過數並消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。我們前線科技人員認為金管局及警方應從速行動,檢討類似的電子錢包的認證要求,以保障市民的財產安全。

#資訊安全即是財產安全

發表意見