据支付圈粉丝爆料,持牌第三方支付机构L刷代理商系统疑似存在重大安全漏洞,通过较低级别的系统权限操作即可获取商户的敏感信息,包括商户名称、法人姓名、联系电话、身份证号、结算银行卡信息等。
通过一个正常的代理商账号登录, 可以获取与本权限不符的其他用户或者代理商的信息资料。也就是说,对于一个新的代理商而言,你可以不费吹灰之力获取到别的代理商拓展的商户信息,而且还是重要的敏感信息,甚至有可能可以对这些信息进行修改。
而获取的信息的方式就更加让人匪夷所思了,并不需要强大的黑客能力,而是在浏览器地址栏中输入相关的查询信息的链接,就可以随意查看商户信息。
另外,比较“人性化”的一点是还可以通过重置密码轻松登录其他服务商的后台系统。就好比拥有了一把通向别人家门的钥匙,细思极恐!
值得一提的是,不知道是为了便捷还是偷懒,代理商系统后台登录并不需要验证码,直接输入登录账号和密码即可。不知道当时设计的时候有没有想过会被暴力破解并且利用爬虫技术批量下载商户资料信息。不知道这个漏洞爆出后,会不会杀个产品经理“祭天”。
此前,市面上一直有代理商反应自己商户的信息被倒卖,现在看来跟类似的安全漏洞有着必然的联系。近年来,支付机构风险事件频发,有机构被爆出泄露用户信息,倒卖注册用户,电话骚扰以低价办理POS机,冒充官方进行设备更换和资金欺诈。这些低级别的系统安全漏洞无疑是为不法分子打开了获取用户信息的大门。一些不法分子利用所泄露数据刻画客户身份并实施精准诈骗,信息泄露成为资金犯罪的基本作案条件和支付风险源头。
根据中国支付清算协会发布的报告显示,2016年有近200家网上商城或支付平台被曝出存在安全漏洞导致数据库信息被窃取,其中多家网站泄露的用户信息达数百万条,最多甚至达到上千万条。
中国人民银行副行长范一飞表示,由于互联网的虚拟化、支付服务的移动化、参与主体的多样化,支付风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点,支付行业在敏感信息保护、客户资金安全、业务连续性等方面压力较大,信息泄露已成为支付安全问题的风险源头。
今年全国“两会”期间,主管支付的央行副行长范一飞在谈及支付机构累计的一些问题和风险时表示,机构内部内控薄弱、风险管理放松等原因,对消费者的保护不够。两个突出问题:一是消费者的个人隐私特别是关于支付的敏感信息被泄露,甚至一些信息公开在网上买卖。二是备付金被挪用的情况一度还比较严重,有些机构把客户的备付金拿来炒房、炒股票甚至用于个人赌博,最后导致损失。往往一个机构出问题可能牵扯到多个地区,消费者的人数可能数以万计。
此前,人民银行印发《关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号),要求从遏制信息泄露源头和防范风险传导入手,建立线上线下支付交易一体化的安全防范体系。其中就强调要加强支付敏感信息全生命周期安全管理,强化交易密码保护机制,定期开展内部审计和外部安全评估,有效防范敏感信息泄露。
今年7月,央行总行营管部科技部副处长刘立安在非银行支付机构技术交流会上介绍,出现6种情况,就会在续展中被“一票否决”,涉及支付信息安全支付机构将面临“不予续展”的决定。
根据人民银行下发了中国人民银行关于《支付许可证》续展工作的通知,明确了支付许可证或不能延期的11种情形。同时强调指导支付机构客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。其中第(九)条规定 在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的;此前也有机构因为技术安全问题,支付业务范围被缩减。
关于本次被爆料的支付机构,支付圈从央行官网获悉,该机构为全国范围内的收单和移动支付牌照,牌照将于2019年7月份到期。根据支付牌照续展的规定,该机构需在2019年1月份开始提交续展相关材料。据支付圈了解,该机构在2017年11月14至12月7日短短一个月之内收到了三张央行的罚单。
类似敏感信息泄露事件风险较大,希望各支付机构一定要引起重视,也希望涉事机构尽快加强系统自查避免出现更大的风险。同时尽快向监管部门汇报,对详细情况和影响进行说明。
此前,央行监管的重点一直都放在业务层面,经过近两年的整顿行动,业务风险逐渐在降低,但是对支付技术安全特别是信息安全已经成为监管的另一个重点。因为真实、准确、完整、精准的海量支付信息直接关系到广大消费者的财产安全与人身安全,此类信息泄露比普通的个人信息泄露更具危害性,后果也更严重。
更多相关信息支付圈将密切关注,第一时间发布新动态,粉丝们也可在留言区说说你们遇到的关于支付信息泄露的事。
