實名認證驚天漏洞背后支付寶搞錯了什么

近日，有支付宝用户突然发现自己的支付宝账号突然多了五个绑定账号，而这些账号都没有经过他本人的认证（事件原文链接）

换句话说，他是在完全不知情的情况下，其支付宝账户下就多了5个绑定账户，而他本人也没有收到任何形式的通知消息，包括短信、邮件、或者登录后的站内信息

这位用户的晒图如下：

用户在咨询支付宝客服后发现解绑较为困难，多次沟通无效后，该用户将整个过程发布到上，随后支付宝针对此次事件作出了澄清不少用户对支付宝的澄清表示不满，引起了人们的广泛关注

而实名认证的账户之所以让用户如此担心的原因还有一个，就是贷款也是在实名信息名下的，那么攻击者可以用这些账户来贷款借钱是否也意味着，别人可以轻易借壳于你的身份来贷款，而最终却由你来还钱

支付宝随后在官方的声明中回应，关联的陌生账号不能以用户的名义获得贷款

支付宝回应实名认证漏洞截图

此次事件的真相和具体技术细节，其实阿里的各位同仁，特别是支付宝的安全团队，会更加清楚，我过去和他们有过一些沟通，他们在技术上颇有自己的独到之处面向数亿普通用户的金融产品，如 衡易用性和安全性，如何做好风险监管，相信他们会更有发言权

但本次事件究竟是如何从一个孤立事件变成了现在的轩然 ，整个处理过程之中有没有值得改进的地方我想从风险管理的角度谈谈自己的看法

我们知道阿里巴巴是一家科技公司，但是支付宝，则是一家互联金融公司，虽然使用了大量的IT技术，却不能改变它是一家以支付、借贷、投资管理、信用管理等业务为核心的现代金融公司，IT技术只是承载金融业务的工具和平台本次事件，是否有支付宝的某些部门对这个定位认识不清，从而造成现在后果的可能性呢

请先让我们来回顾下历史，因为历史总是惊人的相似

大概在10多年前，传统的金融行业经历了与今天支付宝事件类似的情况：不少金融从业人员利用职务之便，使用第三方人员的身份信息，大量申请办理信用卡，轻则套取新办卡每张数十到上百元的补贴，重则进行恶意透支套现，给银行带来了重大损失，而信息被盗取者也遇到了不少麻烦

之所以会出现这种情况，是因为当时信用卡业务的发展尚处于野蛮生长期，各家银行均把圈地发展用户数作为了首要目标，一时之间卡片漫天，甚至出现过一个普通的工薪收入者手上有五六张不同信用卡的情况

为了给发展用户提供便利，很多银行都降低了申请门槛，可以没有良好的信用记录、可以不需要本人在场、可以不考虑还款能力等等，为后来的各种信用卡违规犯罪开启了方便之门

本文由入驻维科号的作者撰写，观点仅代表作者本人，不代表OFweek立场如有侵权或其他问题，请联系举报