在某个论坛上,有人说“就靠支付宝拯救盗刷了”。觉得支付宝的支付二维码,比信用卡的CVV安全太多了。其实,支付宝并不是像大多数人想象的那样,安全便捷,一劳永逸。使用支付宝,一样要小心谨慎,注意安全,避免大额现金存在支付宝中。金融领域的安全,是一个非常庞大的体系。不只有技术,还有制度、法律、监管等等;技术面上也不只是支付这一个环节,任何一块短板都会功亏一篑。支付宝即便在支付这个环节“看起来”更安全,也不能认为支付宝比银行更安全。 信用卡上面看到的东西就能付费(卡号/有效期/CVV), 对比 支付宝动态二维码支付(不是3维码,三维是魔方),这两种方法对比起来,支付宝动态二维码确实稍微安全一些。
听过一个段子么?超市排队结账,前面人亮出二维码,收银员没扫,后面的哥们扫一扫了。(这仅仅是一个段子,用来说明,二维码本身也同样有风险)
盗刷面临的也不仅仅是技术问题。
信用卡的盗刷,据身在美国的小伙伴向我介绍,你向银行报告盗刷之后,银行会列为争议交易,银行会去帮你调查到底出了什么事。这是制度和监管优势。
支付宝的盗刷,我在微博上看到过一些维权相当困难的情况。
除了支付环节以外,支付宝还有(或者曾经有过)一些脆弱环节:
2015年5月,支付宝大面积故障,支付宝给出的理由是:光纤挖断了。但是他们光纤接好之后,我的余额宝不能管理,我绑定的信用卡有一部分不见了。这对于一个每字节数据都是钱的支付宝来说,非常恐怖。这意味他们的数据可能存在丢失的可能。
2015年7月,支付宝更新了手机客户端。但是存在严重的业务设计漏洞:凭支付宝账号+身份证号+购买过的商品,就可以重置支付宝登录密码和支付密码。你的同学同事,知道你支付宝、身份证号,天天看你收快递的人,猜中你买过什么,难么?不难吧。后来,支付宝公关并不认为这是漏洞,把它比喻作:房主在自己冰箱拿香蕉。但是他们在后一次更新中,偷偷修改了找回密码的流程。这就是我说的,不要相信互联网的产品经理,他们可能脑子一进水,就更新一个版本。他们自己都想不明白到底安全不安全,就给大家用了。
2016年2月,微博用户报告了一起支付宝盗刷案件。http://weibo.com/ttarticle/p/show?id=2309403952674092486039 以及,后续:http://weibo.com/ttarticle/p/show?id=2309403952674092486039 从微博用户给出的情况看,支付宝所谓的“安全大脑”几乎只有商业宣传价值。
所以使用支付宝,一样要:小心谨慎、戒骄戒躁。