AlipayHK 終於出事!

來港兩年的香港版支付寶終於被爆出嚴重保安漏洞,事件再次令人關注電子錢包的保安問題。根據網上流傳訊息,受害人的信用卡資料被人盜用,然後透過支付寶戶口註冊並進行消費,結果受害人的信用卡短訊通知揭發事件。成件事其實好簡單,就係支付寶在處理客戶新增信用卡的程序出現漏洞,當 Apple Pay 加每一張信用卡都要在註冊手機號碼上接收認證碼認證後才能加卡,支付寶原來登記完就可以了,那難怪騙徒會用來作工具了。雖然有人話同受害人無將信用卡連結自己手機有關,但我個人認為開戶,加卡呢啲咁私隱既行為,絕不容許任何漏洞,就算信用卡無手機,係咪可以用固網或者打上卡中心度開通呢,核實身份必然是最大的,若然人人都可註冊,同一張卡會否綁兩三個號碼都唔奇!

轉發:受害人經歷

前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。

小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,也許是騙徒所消費的金額已觸及二段認證(2 step authentication)的的額度,故這兩個交易未能成功完成。

今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡,確認了以下的事實:

1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。

2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料或以 SMS 認證。

3)縛定後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費

Written by

A columnist in political development in Greater China region, technology and gadgets, media industry, parenting and other interesting topics.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store