没绑卡却被盗刷3万多!记者实测:只需验证码
人在家中坐,银行卡里的钱却不翼而飞了?这样恼人的事被家住深圳光明的方女士遇上了。
日前,方女士向南都湾财社记者反映,自己的小米账号不知何时被盗,不仅被人换绑了手机号还更改了密码,银行卡也在小米有品商城被盗刷了三万余元。订单信息显示,这些钱在商城购买了金条、手机等共计6笔订单,收货地址是湖南省耒阳市某农贸市场。方女士表示,目前其已报警,正在等待警方的侦办结果。
值得注意的是,方女士称,其从未在小米有品绑定过自己的银行卡,注册的小米账号仅在米家APP操作过扫地机器人。那么,方女士卡里的钱是如何被不法分子盗走的?方女士的个人信息在哪些环节存在泄露风险,小米有品在支付方面,又是否存在漏洞?南都湾财社记者对此进行了实测与采访。
事件
31428元不翼而飞
竟被下单4根金条2台手机
方女士提供的订单截图显示,2022年12月30日-2023年1月1日,其小米账号在小米有品平台分别下单了6笔订单,总金额共计约31428元。其中,4笔下单了金条,2笔下单了红米手机,收货地址均为湖南省耒阳市竹市农贸市场。
方女士被盗刷的订单之一。受访者供图
1月3日,当方女士发现银行卡异常扣款后,迅速联系小米方面协助退款,并向公安机关报案。然而,因其中5笔订单均已显示确认收货,小米方面仅协助方女士拦截了1笔在途订单。
方女士回忆,自己是去年双十一在其他平台购买了小米扫地机器人后,才开始使用米家APP。“主要是用来连接操作扫地机器人的,从未绑定过银行卡下过单,更不知道还有小米有品这个商城。”
令方女士气愤的是,当问及自己的银行卡为何会在未经自己本人同意的情况下就绑定了小米有品商城并消费,银行和小米有品方面均未给出答案。
2月8日,南都湾财社记者致电小米有品,工作人员表示,用户遭不法分子盗刷三万余元的信息基本属实,目前小米有品也已建议用户报警,并会全力协助用户和警方追回钱款。当问及方女士的银行卡为何会未经本人同意就被绑定并盗刷,工作人员表示原因尚不清楚,“之前也有用户出现过被盗刷的情况,有的是点击了网上的不明链接导致了信息泄露,或者小孩拿了大人的手机玩游戏点到不明链接等等。”
实测
小米有品平台绑定银行卡仅需手机验证码
无需人脸识别等验证方式
针对不法分子究竟是如何盗刷方女士的银行卡,警方已经展开全力调查。不过,追问方女士个人信息泄露的源头,哪些环节存在安全隐患值得探讨。
方女士提供的截图显示,其名下的借记卡在2022年12月30日与捷付睿通(小米旗下第三方支付机构)成功签约绑定了快捷支付服务。方女士表示,自己对银行卡绑定及签约的过程并不知情。
方女士的银行卡与捷付睿通签约。受访者供图
那么,方女士的银行卡是如何与平台绑定的,这一过程是否存在安全风险?南都湾财社记者进行了实测。
测试过程中看到,在小米有品商城,将银行卡绑定至小米钱包,需要银行卡号、姓名、身份证号、银行预留手机号以及预留手机号上收到的验证码,即可完成绑定。除验证码外,无人脸识别等其他验证持卡人身份的方式。
这一流程也得到了小米有品方面的确认。在致电小米有品客服时,工作人员也表示,目前在小米有品平台绑定银行卡,确实是通过银行预留手机验证码验证身份即可,无人脸识别等其他验证方式。如消费者有顾虑,也可选择使用其他支付方式。
实测过程中记者还发现,银行卡绑定成功后,即可自设密码进行支付操作,无其他方式验证消费时是否为持卡者本人。如遇超过千元的大额消费,则与绑定流程一样,需通过手机验证码可完成支付操作。
观点
小米有品商城银行卡绑定及支付流程
或存安全风险
北京网络行业协会法律委员会副主任、北京京师律师事务所律师王琮玮向南都湾财社记者分析,此次事件可能有多个环节存在用户信息泄露的风险,暂无法确认用户信息泄露的源头。不过,从绑定银行卡,到在小米有品商城消费支付的全过程来看,小米平台的绑定和支付验证存在一定安全隐患。
“虽然各机构支付验证流程不尽相同,但总的要求肯定是以安全为主,仅凭银行预留手机验证码验证用户真实身份,我认为这一机制存在一定安全风险。”王琮玮表示,根据《非银行支付机构网络支付业务管理办法》第十一条(二),绑定银行卡并开立小米钱包新账户的过程中,在一定限额范围内,支付机构应通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证,“比如说生物识别,或输入银行卡密码等措施”,王琮玮说道。
此外,在绑定完成后的支付环节,支付的验证流程或也存在一定安全隐患。王琮玮表示,根据非银行支付机构网络支付业务管理办法》第二十二条, 支付机构可以组合选用下列三类要素对客户使用支付账户余额付款的交易进行验证,并确保采用的要素相互独立:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
王琮玮认为,目前来看小米商城的支付过程也不符合上述要求,因此支付的过程也存在一定安全隐患。
背后
小米旗下支付机构捷付睿通
曾因违法违规行为多次受到处罚
方女士并不是首位在小米商城遭遇银行卡盗刷的用户。
南都湾财社记者查阅裁判文书网看到,2020年11月,就有消费者的信用卡通过捷付睿通股份有限公司被盗刷消费18544元。在黑猫投诉平台,搜索“小米”“盗刷”相关关键词,共有74条投诉内容,最新的投诉发表于2月8日。
值得注意的是,小米旗下支付机构捷付睿通,也曾多次因涉嫌违法违规被央行处罚。
公开资料显示,早在2014年4月,捷付睿通就曾因银行卡收单业务违规,被央行勒令停止全国范围内的商户新增。
2016年,捷付睿通正式引入小米科技有限责任公司作为战略合作伙伴和主要出资人,围绕小米互联网应用场景进行支付业务战略布局,并成为小米生态中重要的参与者。彼时,捷付睿通内部高层也经历了“换血”:工商变更显示,2016年1月,捷付睿通法定代表人由武军变更为雷军,同年7月,小米系的洪锋、刘德、祁燕成为捷付睿通高管。
虽然进入小米生态,但围绕捷付睿通的违规处罚和争议并未停止。2018年,捷付睿通股东盛银和睿科技有限公司曾因股东知情权纠纷与捷付睿通对簿公堂。判决书显示,盛银和睿2015年7月即与小米科技签订股权转让协议书,转让给小米科技65%股权,彼时盛银和睿拥有捷付睿通32%股权。
然而,作为捷付睿通的前股东,盛银和睿称自2016年6月起,便对捷付睿通的经营状况一无所知。盛银和睿曾多次提出召开股东会、董事会,但捷付睿通却不予理睬。彼时,捷付睿通在一直持续处于亏损状态,但从未提供详细资料说明亏损原因,公司财务流程混乱,大额支出未有合规授权,未依法定程序决策,财务存在巨大风险,严重侵犯了盛银和睿的股东权益。
2019年7月,捷付睿通股份有限公司又因违反《非金融机构支付服务管理办法》和《银行卡收单业务管理办法》,被央行呼和浩特中心支行处以警告。
最新的处罚信息公布在2022年6月23日,中国人民银行呼和浩特中心支行发布的一份行政处罚信息公示表显示,捷付睿通因存在4项违法行为,被央行罚款12万元。
具体来看,此次处罚中捷付睿通存在:未按规定报送或保管相关资料;从事网络支付业务违规开立支付账户;从事收单业务未按规定建立并落实特约商户实名制;从事收单业务未按规定设置、发送收单交易信息等4项违法行为。
南方都市报(nddaily)、N视频报道
南都湾财社记者 严兆鑫
还会有下一波新冠疫情吗?刚刚回应
8万月薪招方丈?寺院回应
存5万元要提供收入证明?记者问了18家银行网点……