支付宝存重大漏洞,10秒无需验证盗刷银行卡内金额


平时在网上经常看到支付宝被盗刷的案件,觉得离自己很远,没有想到这件事却在这一天真正的发生在了我的身上。真真切切的,毫无预兆。仅仅10秒钟,我没有收到任何输入验证码或者支付密码的过程,银行卡就被盗走两千元。
平日里,媳妇因带孩子原因,不能上班,在家经营一家网店。主要做的是给一些用户写写文章的项目,因为今天她临时有事,我在上班后就帮媳妇挂上QQ和千牛。不过一般周末也不会有人咨询,今天早上倒是赶巧,正好有一名用户在9点1分左右与我媳妇的业务QQ联系,说要买我们的产品,想支付宝付款。我就把我的支付宝账户发给他,但是与普通客户不同的是,这位客户想用扫码的方式付款。并且告诉我怎么打开付款码。
因为平时给朋友转账的时候,我也用过付款码的方式给朋友转账。所以我就打开支付宝钱包,把付款码截图发给了他。于是我没有多想就把付款码发给了他,不过他又让我重新发一遍,因为截图很麻烦,我不想一遍遍发给他,所以又把我的支付宝账号发给了他,并且告诉他需要买产品的话直接转账。或者淘宝店拍就行。结果就是这么一个很普通的交易过程,可怕的事情发生了。
在发给他付款码以后,我收到了支付宝支出2000元的提醒。在这个过程当中我没有进行过任何操作,包括输入支付宝支付密码,输入验证码,确认交易金额,等等。任何操作都没有,我银行卡上的2000元就被刷走了。我意识到了问题的严重性,马上给支付宝打电话,可是得到的回复是:“这是正常交易,是因为我的过失,被刷走的钱,支付宝客服让我与当地警方联系”。当时我脑子一片空白,也没有多想,就到附近公安局报了案。
但是警方也感觉这件事很奇怪,为什么本来是对方给我付款的一个流程,我却被盗刷了2000元钱。在现场,警察按照我说的流程,打开付款码界面让我扫描,我通过支付宝钱包扫描他的付款码以后,出现的只有给对方转账的界面,并没有收款的功能。说明,如果是正常流程的话,我给对方付款码应该是对方像我付款的过程。而不是对方可以刷走我的钱。
于是我又给支付宝客服打电话,他们回复是付款码上面有一个二维码,这个是商家扫的二维码,商家通过扫码可以直接刷走银行卡里面的钱,而且不需要用户验证。我的疑问是:“既然是支付过程,起码用户应该可以看到付款金额,并且同意付款,要有一个确认付款的流程吧”。可是并没有,是的,别人可以通过扫描你的二维码输入任意金额,并且不需要通过你的验证信息,可以刷走任意金额。
随后,我在支付宝安全部门说明问题后,他们说帮我备案,但是一直逃避自己的责任,说我是被骗,而不是他们的问题。我在公安局备案以后离开了公安局。到现在支付宝并没有再次联系我,说是72小时后与我联系,让我等待结果。一家在美国上市的公司,一家全国使用率最高的第三方支付平台,有如此大的漏洞,却不承认,并且要用户买单,我真是无比寒心。有了这个漏洞,只要对方是商家,获取到你的付款码,就可以在十秒钟之内盗刷你银行卡的任意金额。

web site traffic statistics