支付宝账号屡遭盗用 电子支付胆战心惊

虽然目前的网上支付公司如雨后春笋般涌现，但技术水平并不能令人满意，安全问题也不胜其忧

淘宝网一度把支付宝视为竞争宝刀，但现在看来―――不但刀耍得不好，还有割伤自己的可能。

2005年8月10日下午，网民夏烨遇见了一件蹊跷的事―――自己工商银行账户里的560元不翼而飞了。而根据支付宝交易记录显示，当天早晨7时许，自己登录支付宝账户，将工行账户里的560元转到了支付宝的账户中，接着又转到了另一个陌生人的账户中。

夏烨于是向支付宝方面反映，但支付宝除了将盗用者的账号冻结之外，拒绝任何赔付。更让她生气的是，支付宝还拒绝将盗用者的账号提供给警方，并声称：“我们没有权利这么做。”

近期，支付宝安全问题屡屡被人提起，究竟是什么原因造成的？国内电子支付企业目前有前所未有的发展机遇，但也出现了许多令人头痛的问题。

支付宝早有安全隐患

对于此事，支付宝公关部门对《IT时代周刊》说：“根据以往经验，可能是如下两个原因或之一。第一，使用的电脑中了木马病毒，密码被人用木马程序窃取。第二，密码设置过于简单，被破译。支付宝账号有一个功能，连续试错3次账号就会自动关闭3个小时。因此可能性比较集中在第一种。支付所谓“第三方网上支付”，就是为一些和各大银行签约、具备一定实力和信誉保障的第三方独立机构提供交易平台。买方选购商品后，使用该平台提供的账户进行货款支付，并由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。支付宝、安付通和PayPal均属此范围。只有通过支付宝购物而受到的损失，支付宝才给予赔付，类似夏烨的情况，不在赔付范围之内。”经本刊记者调查得知，近期类似被人冒用支付宝账号而导致所在工商银行账户被盗款项事件不止一件。

对此，上海交大信息安全工程学院一位教授对本刊记者说，从受害者提供的网上银行交易截图可以看到，作案人在利用支付宝账号进入被害人的工商银行账户后，由于不知道账户里究竟有多少钱，就一再尝试取款。一个孤立密码被盗事件，可能是由于该用户中了木马病毒所致，但是近期内多个用户都有此现象，手法也完全一致，就说明支付宝账号被破解的可能性很大。

支付宝系统早有漏洞

但支付宝方面却断然否定这一可能性。

“我们的密码不可能被破解”。支付宝公关部向本刊记者很肯定地表示。但一位年轻的黑客黄文造有自己的答案。

今年8月底，广东青年黄文造曾利用淘宝网“支付宝”程序存在的漏洞，轻松地窃得客户资金共计21440元人民币。

今年5月3日，黄文造在登录淘宝网时，忘记了以前注册的用户密码，于是通过淘宝网上“找回密码”的功能，一步一步按提示操作找回密码。在操作过程中，有一定编程基础的黄文造发现系统存在技术漏洞，可以破译其他用户的账号密码。

一开始黄文造在淘宝网的支付宝论坛上发帖给客户服务员，“支付宝有严重漏洞，请联系我的手机，13*********”，但没有回馈。

5月4日，黄文造再次来到网吧，破译了一个支付宝用户的密码，并利用对方账户里的钱支付一部高档手机的货款。5月6日，黄文造又故伎重演，利用他人账户资金购买了两部高档手机。当他前去取货的时候，被守候的警方当场抓获。

案发后一个月，支付宝宣布与江民科技达成深层次合作。江民科技总经理陶新宇在接受《IT时代周刊》采访时表示，双方合作中重要的一项，就是为支付宝提供更全面的网络安全增值服务。

据本刊记者了解，目前我国的支付方式在完成网络交易的过程中，已经基本解决掉单、丢单等问题。但不免会有类似于“证券大盗”等病毒及木马的侵扰，安全体系还有待加强。陶新宇告诉本刊记者，这也正是支付宝寻求与江民科技合作的主要原因，他强调：“对于国内的支付产品而言，从技术上解决安全问题并建立完善的信用体系，是至关重要的。”

虽然支付宝方面一再坚称夏某被盗“不属于支付宝公司平台或系统或员工操作问题”，但本刊记者发现，就在夏某向支付宝提出交涉的第6天，支付宝迅速升级了用户登录安全控件……

网上支付投诉不断

由于支付宝与安付通―PayPal之间的激烈竞争，很多国内外投资商都对国内支付给予关注，这让网上支付公司一夜之间如雨后春笋般冒出来。但不少公司却抱着圈钱的态度，拿到一笔钱就上马，不但技术同质化，行业经验也普遍缺乏。

窥一斑而见全豹，屡遭麻烦的不止是支付宝，国内其他电子支付企业在面临前所未有的发展机遇的同时，也问题多多。

今年1月18日，易趣公司宣布，每一个用户使用“安付通”进行交易，就可获得易趣送出的50元购物金。可是，这场促销活动，却收到了意想不到的效果。自活动开展后，不断有网上购物者反映，汇款之后却迟迟没有回馈，易趣的系统中也显示“未收到货款”。而在线客服答疑系统也很难沟通。

上海市电子商务行业协会的负责人对 本刊记者说：“近年随着电子商务网站的二度兴起，涉及这一领域的投诉也越来越多。我们每月都要收到少则十几起，多则几十起的相关投诉，问题集中在网上购物诚信、网上支付安全两方面。”

在分析原因时，他表示：“目前不少电子商务网站纷纷推出网上支付服务，以此来聚集忠诚客户群。但支付服务往往是引入国外先进支付体系的部分应用，国内支付服务的功能比较单一，只有转账一项功能，而缺乏其他的辅助工具。往往是有了一个基础平台就急着推出来做宣传了，做得很不踏实。”

不但功能上受到质疑，上海交大信息安全工程学院的一位教授更是直言“网上支付的技术门槛并不高”。他认为，目前国内支付产品普遍比较脆弱，安全性能不高，运作也不够稳定，“总体而言，是没有在技术上下功夫，和国外产品还不在一个竞争等级上。”

国内支付企业技术的不完善也让他们丢掉了不少机会。戈壁基金副总裁朱嶙访遍了国内大中城市，仍然找不到合适的投资对象。怀揣着可观资金的他，只想“看谁的网上支付技术最先进、最安全”。

“转眼一年，我当初考察过的技术公司有一半已经‘死’了，可这个行业确实还在蓬勃发展。”朱嶙至今还在对拥有网上支付技术的5家企业进行追踪，看他们是否在进步，“现在网上支付面临的最大困难就是安全，这项技术的市场非常大，但是能被创投看好的企业不多。”

国家政策纳入监管

如何才能规范这一市场？

中国人民大学财政金融学院副院长赵锡军认为，设立第三方的安全认证机构是个好办法。设立“安全责任事故的裁判员”，不但能杜绝目前网上支付机构“既当运动员又当裁判员”的不正常现象，也保护了消费者利益。

让人欣喜的是，政府部门也将要把这个一直游离于国家金融监管之外的“野孩子”纳入监管之中了。

8月19日，中国人民银行支付清算司在北京组织了一场内部会议，就6月10日颁布的《支付清算组织管理办法》（征求意见稿）进行座谈。本刊记者了解到，保障支付的安全性是该办法的宗旨和核心内容。

在此次座谈会上，支付清算司明确了两个内容：一是包括电子支付平台在内的第三方支付结算属于支付清算组织提供的非银行类金融业务，理应纳入中国人民银行的监管轨道；二是央行将以牌照的形式提高企业进入这一行业的门槛，对于已经存在的企业，第一批牌照发放后如不能成功持有牌照，就将面临被整合或收购的危险。

而且，该办法第30条规定“支付清算组织办理有关业务，应有必要的技术方案和手段，防止信息在传输过程中被非法截取，确保支付指令不被篡改”。

这场座谈会，在电子支付业界引起了轩然大波。

“银行的担心是，用户的钱会在第三方支付平台的账号上停留一段时间。”上海海快钱信息服务有限公司的CEO关国光认为，这会带来两个问题，一是交易额达到一定数量后，提供第三方支付的公司有卷款潜逃的可能性；二是这笔钱所产生的利息如何分配也是很大的一个问题。

在《办法》（征求意见稿）中，还提到境外投资者可以与境内投资者共同投资设立支付清算组织，外资持股比例可以达到50%。因此，今后外资机构可以借道“合资清算组织”介入人民币卡清算这块利润丰厚的业务。

这一款规定让易趣颇为紧张。据一位参加会议的代表向媒体表示，易趣在电子支付平台的金融业务性质上表示了不同意见，“因为‘贝宝’体系涉嫌不符合即将出台的《管理办法》对外资比例的限制。”原定于2005底开始提供服务的“贝宝”体系提前开始运作，这个抢跑者可能正好撞在枪口上，成为《办法》出台后，首个被整顿的对象。

不过国家把电子支付平台纳入监管对于整个产业的健康发展无疑是有利的。前文所述的受害人夏烨也正盼望着该办法的早日实施。她说，“到时候我就揣着政策到支付宝要赔付去。”