close
本周四,有支付寶用戶突然發現自己的支付寶賬號突然多瞭五個綁定賬號,而這些賬號都沒有經過他本人的認證。換句話說,他是在完全不知情的情況下,其支付寶賬戶下就多瞭5個綁定賬戶,而他本人也沒有收到任何形式的通知消息,包括短信、郵件、或者登錄後的站內信息。
這位用戶的曬圖如下:
用戶在電話咨詢支付寶客服後發現解綁較為困難,多次溝通無效後,該用戶將整個過程發佈到網上,隨後支付寶針對此次事件作出瞭澄清。不少用戶對支付寶的澄清表示不滿,引起瞭人們的廣泛關註。
而實名認證的賬戶之所以讓用戶如此擔心的原因還有一個,就是貸款也是在實名信息名下的,那麼攻擊者可以用這些賬戶來貸款借錢?是否也意味著,別人可以輕易借殼於你的身份來貸款,而最終卻由你來還錢?
此次事件的真相和具體技術細節,其實阿裡的各位同仁,特別是支付寶的安全團隊,會更加清楚,我過去和他們有過一些溝通,他們在技術上頗有自己的獨到之處。面向數億普通用戶的金融產品,如何平衡易用性和安全性,如何做好風險監管,相信他們會更有發言權。
但本次事件究竟是如何從一個孤立事件變成瞭現在的軒然大波,整個處理過程之中有沒有值得改進的地方?我想從風險管理的角度談談自己的看法。
我們知道阿裡巴巴是一傢科技公司,但是支付寶,則是一傢互聯網金融公司,雖然使用瞭大量的IT技術,卻不能改變它是一傢以支付、借貸、投資管理台中靜電油煙機出租、信用管理等業務為核心的現代金融公司,IT技術隻是承載金融業務的工具和平臺。本次事件,是否有支付寶的某些部門對這個定位認識不清,從而造成現在後果的可能性呢?
台中靜電機出租請先讓我們來回顧下歷史,因為歷史總是驚人的相似。
大概在10多年前,傳統的金融行業經歷瞭與今天支付寶事件類似的情況:不少金融從業人員利用職務之便,使用第三方人員的身份信息,大量申請辦理信用卡,輕則套取新辦卡每張數十到上百元的補貼,重則進行惡意透支套現,給銀行帶來瞭重大損失,而信息被盜取者也遇到瞭不少麻煩。
之所以會出現這種情況,是因為當時信用卡業務的發展尚處於野蠻生長期,各傢銀行均把圈地發展用戶數作為瞭首要目標,一時之間卡片漫天,甚至出現過一個普通的工薪收入者手上有五六張不同信用卡的情況。
為瞭給發展用戶提供便利,很多銀行都降低瞭申請門檻,可以沒有良好的信用記錄、可以不需要本人在場、可以不考慮還款能力等等,為後來的各種信用卡違規犯罪開啟瞭方便之門。
而這與如今互聯網金融強勢崛起的情況何其相似:
由於互聯網金融的崛起,各傢公司為瞭擴大用戶數,提高交易金額,紛紛降低門檻,申請過程更容易、使用更容易,註銷更困難、解綁更困難,一切都是為瞭快速擴張服務。
就本次事件來看,支付寶,或者說至少是支付寶的某個歷史版本,存在著用戶身份驗證不完全即可綁定賬號的潛在風險。這也許是為瞭提高產品使用體驗而作出的妥協,或者是某個歷史版本的安全漏洞。用戶方也必然存在某種疏忽(比如個人信息泄漏,或者賬號密碼/郵箱泄漏)才有可能導致這個結果。
作為一傢技術公司,當然可以說產品不可能沒有安全漏洞,而且也可以清晰地通過找到用戶方的責任來對後果進行免責。但是作為一傢金融公司,特別是創新型的金融公司,首先要考慮的則是用戶的安全體驗對新業務推廣的正面和負面作用。
新業務的推廣需要改變用戶的使用習慣,並且克服用戶對新技術的恐懼,而信息安全問題恰好是其中會起到關鍵作用的一個點,不解決用戶對信息安全的擔憂,新業務就很難大規模的推廣。上個世紀美國的銀行為瞭推廣信用卡所采取的各種安全保障措施就是一個很好的例子。
而在用戶投訴階段,客服人員是否清楚現有產品和歷史產品的安全問題?是否能夠通過有效的溝通安撫用戶的情緒,並且及時地協助用戶解決問題?
互聯網金融的優勢是采用互聯網技術能夠同時地服務海量的用戶,但是在風險管理和用戶體驗管理上,僅憑自動化的機器,有時是不能滿足用戶需求的。如果用戶的滿意度下降,前期辛辛苦苦發展來的用戶群就會逐漸流失。
而互聯網的特性又使得負面情緒和事件會被無限放大,從而引入瞭商譽風險,一旦危機公關措施不當,商譽風險的損失將遠超過技術風險。
本次事件中,支付寶的危機公關團隊雖然響應及時,但是卻未能有效地安撫用戶的情緒,也未能消除用戶對安全問題的疑慮,反而留下瞭撇清推卸責任的印象,整個溝通過程和方法是否過於以自我為中心?並未能考慮到用戶的體驗和心理接受程度?這些都是值得我們深思和引以為鑒的。
從監管角度來說,監管措施往往是落後於金融業務創新的。
新興的互聯網金融恰好處於金融監管的灰色地帶,現有的監管措施並不能有效地防范互聯網金融的風險,這方面對監管機構盡快拿出新的風控措施提出瞭挑戰。同時也更加要求行業龍頭擔負起責任,為整個產業的健康有序發展作出更大的貢獻。
從個人角度來說,應註意以下幾點:
1、使用互聯網金融產品時要對可能面臨的信息靜電機租賃安全風險有著充分的認識,對自己的風險承擔能力也有著足夠的瞭解。
2、應該要保護好自己的個人隱私,使用手機拍攝證件時要註意關閉雲備份,使用完要及時刪除,也不要隨便將證件照上傳到不可信的網站。
3、盡可能使用復雜密碼,定期更換密碼,使用雙重認證(例如USB KEY)。
4、盡可能使用專用設備進行金融操作,而不是與平時上網或者遊戲的設備混用,特別盡量不要把密保手機用來直接進行交易。用來進行金融操作的手機不要安裝非官方的應用。
5、遇到安全問題之後不要恐慌,及時有效地與官方溝通,創新業務的一個好處就是為瞭確保業務的順利推廣,前期廠商往往會對用戶的風險進行兜底,所以良好有效的溝通後,實際損失並不會太嚴重。如果金額巨大,可以及時取證公證、並向監管機構或者消費者協會和媒體進行投訴。
總的來說,其實支付寶本身安全性挺高,並沒有什麼問題,主要還是在於用戶的使用環境。當然,此次用戶個人信息被盜,而支付寶沒有拒絕用被盜信息註冊的多個賬戶,目前雖然並不會產生嚴重後果,但是金融的風險監管問題不容忽視。希望本文能夠引起對金融產品安全問題的註意。
訪問:
阿裡雲
AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋
AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots
文章標籤
全站熱搜
留言列表
