用户名*
邮箱*
密码*
确认密码*
验证码* 点击图片更换验证码
找回密码
忘记密码了?输入你的注册邮箱,并点击重置,稍后,你将会收到一封密码重置邮件。
专业造轮子,拉黑抢前排。…
一个实名支付宝廉价到你无法想象,2手的实名支付宝低到几毛钱一个,全新也不到俩块钱。
看到有人回复说自己身份证被注册,还发现绑银行卡,可是银行却查不到。
原因很简单,支付宝快捷实名认证没办法做到所有数据相互验证,只能部分数据两两验证。而中国同名的人又这么多。
当然这个问题不是只有支付宝才存在,而是大量平台普遍存在的问题。比如财付通,京东钱包。
ps:我把评论里面卖支付宝号的删掉了
我觉得应该开个专栏《阿里大事件》来记录他大阿里搞出的大新闻。
x年x月x日,天猫锤子手机销量造假事件。
x年x月x日,阿里服务器宕机事件。
x年x月x日,某某员工因工作居住证问题离职事件。
……
x年x月x日,2015年校园招聘怒坑应届生事件。
x年x月x日,支付宝实名漏洞事件。
众多期待,未完待续。
可以按照如下步骤重现此问题(应该不是唯一的渠道):
1、随便注册一个新账号,新注册过程中,要求提供手机号、绑定快捷支付的银行卡、身份证等信息
值得注意的是:
a、即便是原来已有账户使用过的信息依然可以在注册新账户时候使用,注册过程并不会强制诸如身份证、手机号的唯一性。例如像我新注册的支付宝账户就使用了老账户绑定过的身份证号、银行卡、手机号,依然可以可以顺利完成注册。
b、此步绑定的银行卡,应该完成了用户银行卡的实名认证,应该没采用身份证+银行卡的实名认证。
2、以新注册的账户登录,使用身份证完成实名认证
此步应该是调用诸如国政通、公安部接口对身份证进行实名认证,但正如所有支付公司一样,并不要求提供身份证原件照片。
3、使用老的账户登录,会有不算醒目的实名认证通知
4、到账户设置->基本信息->实名账户 下查看,可以看到已经新注册绑定的账户
因此大致可以总结一下(由于未做详细验证,有推测成分):
1、多个不同账户用同一张身份证做实名认证,支付宝就会自动关联这两个账户。
由于国内用户身份证信息、银行卡信息泄露的渠道奇多(例如在淘宝上就购买到真实身份证照片、同名银行卡信息;例如以前淘宝数据库被拖库等等),假如有人通过某些渠道获取了用户身份证、银行卡信息,很容易通过实名认证(V2级别)。
2、为了用户指标等KPI指标或是其他原因,支付宝账户放松诸如身份证、手机号等核心信息的唯一性要求(只允许身份证号、手机号与一个账户绑定)。其实放松唯一性要求在产品层面也可行,但应当通过额外的验证步骤来保证实名认证的效果。
3、在产品层面,对实名认证的用户及支付宝自己的运营人员都未提供有效的解绑工具或让用户证明自己的流程或工具,导致出现问题后,无法及时解决问题。
4、支付宝官方声明说用户账户下的子账户不能用于贷款,姑且相信官方的说法,但是否会影响用户的芝麻信用呢,会不会还有其他的潜在问题呢?所谓“信心贵入黄金”,如果对于此问题都无解,都是用户的问题,那用户凭什么相信呢?
作为一个第三方支付从业者,理解支付宝在实名认证上策略的无奈:要在用户体验及安全性上取得较好的平衡很难。目前主流的实名认证手段(身份验证:进行银行卡验证的网站都是怎么进行验证操作的? – 梁川的回答)本质上无法真正认定“你就是你”,只要知道对应证件信息的人,都可以轻松绕过实名认证过程。但要采用打随机金额、上传证件等方式,体验上又非最佳。
可以说,基本上所有的支付公司都存在类似实名认证的困境。
但此次事件暴露的问题,个人认为主要集中在:
支付宝公关、运营人员整体的策略是一如既往地将问题归罪于用户自己的隐私信息泄露,强调支付宝安全体系的NB,并未从产品流程、运营流程甚至KPI指标角度去总结问题的根源。
自证系统的安全性及先进性对解决问题毫无帮助,用户需要的是专业的产品设计、应对问题的快速、专业的响应,只有这样才能建立起用户对系统的信任和信心。
就这个事,我也电话了支付宝客服。既然这些账户都实名认证在我的名下,那就是说这些账户都是我的,我要求冻结这些账户所有资产。(其实我是想把这些账户资产转入我账户的。)
客服:不行。需要提供这些账户的ID,才可以。
我问:当初绑定时,怎么没问他要ID。
客服:……
不过不管怎么样,他死活要多重证件,才肯解除那些绑定,果然是然并卵。
大家群策群力,想想办法严惩不法之徒,以及傲慢的支付宝。
胡乱不负责的猜测一下,当初为了融资,阿里默许了刷销量的行为(也许更甚),所以打开了这个后门。其实他们一直知道这个问题,并坚决不修正,现在还在装大瓣蒜。
支付宝声称被关联源头是资料丢失,应该是客户自己担责。然而,客户的资料是酒店和其它资料库被破解所致,客户几乎没有过错。更重要的是,客户丢失的也并非足以验证实名支付宝的资料,说到底还是因为支付宝的实名验证逻辑有漏洞:
身份证号和实名的关联验证,银行卡号和实名的关联验证,但身份证号和银行卡号的对应不验证,导致留下了可以用一个身份证破解全部重名身份证的漏洞,支付宝难辞其咎。
装逼时间:
我在去年八月就在知乎提过这个漏洞了,今天才引起注意,只能说支付宝过于自大,低估了互联网黑产者的能量。
中国互联网有哪些黑色产业链? – 知乎用户的回答
以下摘自原答案:
淘宝号用处很多,但是支付宝不实名就没有用。于是,就有人出售能够用来实名的资料以及账号,使用的时候,可以让你顶掉原拥有者的账号,于是有些人的账号就被莫名其妙顶了,或者发现自己被关联了很多号,这个原理是什么嘞?
为防社工库和黑产高手利用大量资料搞僵尸号,支付宝实名目前使用了一套安全度极高的实名验证方式,即跟公安系统联网。
一、检查银行卡姓名和身份证姓名是否对应
二、身份证号加姓名是否真实对应
三、银行预留手机号以及验证码和银行卡是否对应
或支付宝打进这个银行卡号的那笔款项是否正确。
这是一个非常聪明的办法,相当于变相把账号注册的难度和银行的安保级别挂钩了,因为没办法用虚假身份办银行卡,这样对于买手机号,查身份证号的人,就傻眼了。
但是聪明的你一定发现了,这里有一节是断的:
就是身份证号和银行卡号不要求对应。
代表什么呢?
假如你叫李刚,中国有百万李刚,通过某些社工库,能搜到上千个李刚的开房记录,包括身份证号,然后,他只要掌握了一张李刚的银行卡,那么,当当,他可以用这张银行卡匹配全部李刚的身份证号,拿来做新的实名账号也可以,关联这些李刚已有的支付宝也可以,真李刚自己是不知道的。
于是,就有了一大堆资料和实名账号,于是四个月前,每个支付宝账号领一瓶友宝一分钱领饮料的时候,广州某些地铁站,大学城附近,常常有行家里手带着拉杆箱运饮料,然后晒恒大冰泉洗澡。
原回答被举报为 “包含不友善内容”,好,那就修改一下。
作为中招用户,我也不专业地评价一下。
支付宝的实名认证功能 “很不明智”:主账户在没有任何通知和确认的情况下就可以被其它账户关联、主账户无法取消绑定子账户,甚至主账户连子账户的全名都看不到。主账户完全无法控制子账户的权限、行为及后果。
同时评价一下支付宝的这个声明(一个正常的支付宝实名认证账户下会不会出现… 来自支付宝),我只想说,写这个声明的人 “很不明智”,还真是一副 “我是你爹” 的嘴脸。
看到下面的那么多客服问题,我也坐不住了,9.30号我第一次使用UBER打车,本着时间紧的原因使用了支付宝代扣服务,后来想,太危险了,万一支付宝被别人用了怎么办,想要解绑,发现居然不能解绑。
重点来了,联系客服,客服说她们不负责,要我联系UBER发邮件申请解绑代扣,幸好之前看到过知乎大神的文章知道可以,态度强硬了点,中午帮我转到了第二个客服,这个客服也跟我磨磨唧唧了半天说不能解绑,我就问,钱都放在了你们支付宝了,都从你们这里扣,怎么就不行了,最后妥协,帮助我发邮件给UBER,5天之后解除成功,看到网上自己联系UBER的,大多数都没成功解除~还是支付宝的客服真的嫌麻烦,不管事,千方百计推脱!!!
用户:客户端没有手势密码!
支付婊:你买我保险,被盗我赔你100万
用户:你的账户系统有bug
欢迎继续造句。
看到这篇文章于是我找了半天才找到实名认证哪里可以点进去看。
然后发现我特么也中招了。
然后我又找了半天没有找到哪里可以申诉的地方。
刚才(30分钟前)我登录我的支付宝还发现有5个已经绑定我的身份证,现在(2015-10-10 21:43:49)查看发现只有我自己的帐号了。不知是支付宝紧急处理了,还是只是做了屏蔽(我猜测绝对是不让你看见而已,也不让新来的用户发现自己账户下有多个子账户)。
昵称*
E-Mail*
回复内容*
回复 ( 10 )
一个实名支付宝廉价到你无法想象,2手的实名支付宝低到几毛钱一个,全新也不到俩块钱。
看到有人回复说自己身份证被注册,还发现绑银行卡,可是银行却查不到。
原因很简单,支付宝快捷实名认证没办法做到所有数据相互验证,只能部分数据两两验证。而中国同名的人又这么多。
当然这个问题不是只有支付宝才存在,而是大量平台普遍存在的问题。比如财付通,京东钱包。
ps:我把评论里面卖支付宝号的删掉了
我觉得应该开个专栏《阿里大事件》来记录他大阿里搞出的大新闻。
x年x月x日,天猫锤子手机销量造假事件。
x年x月x日,阿里服务器宕机事件。
x年x月x日,某某员工因工作居住证问题离职事件。
……
x年x月x日,2015年校园招聘怒坑应届生事件。
x年x月x日,支付宝实名漏洞事件。
……
众多期待,未完待续。
可以按照如下步骤重现此问题(应该不是唯一的渠道):
1、随便注册一个新账号,新注册过程中,要求提供手机号、绑定快捷支付的银行卡、身份证等信息
值得注意的是:
a、即便是原来已有账户使用过的信息依然可以在注册新账户时候使用,注册过程并不会强制诸如身份证、手机号的唯一性。例如像我新注册的支付宝账户就使用了老账户绑定过的身份证号、银行卡、手机号,依然可以可以顺利完成注册。
b、此步绑定的银行卡,应该完成了用户银行卡的实名认证,应该没采用身份证+银行卡的实名认证。
2、以新注册的账户登录,使用身份证完成实名认证
此步应该是调用诸如国政通、公安部接口对身份证进行实名认证,但正如所有支付公司一样,并不要求提供身份证原件照片。
3、使用老的账户登录,会有不算醒目的实名认证通知
4、到账户设置->基本信息->实名账户 下查看,可以看到已经新注册绑定的账户
因此大致可以总结一下(由于未做详细验证,有推测成分):
1、多个不同账户用同一张身份证做实名认证,支付宝就会自动关联这两个账户。
由于国内用户身份证信息、银行卡信息泄露的渠道奇多(例如在淘宝上就购买到真实身份证照片、同名银行卡信息;例如以前淘宝数据库被拖库等等),假如有人通过某些渠道获取了用户身份证、银行卡信息,很容易通过实名认证(V2级别)。
2、为了用户指标等KPI指标或是其他原因,支付宝账户放松诸如身份证、手机号等核心信息的唯一性要求(只允许身份证号、手机号与一个账户绑定)。其实放松唯一性要求在产品层面也可行,但应当通过额外的验证步骤来保证实名认证的效果。
3、在产品层面,对实名认证的用户及支付宝自己的运营人员都未提供有效的解绑工具或让用户证明自己的流程或工具,导致出现问题后,无法及时解决问题。
4、支付宝官方声明说用户账户下的子账户不能用于贷款,姑且相信官方的说法,但是否会影响用户的芝麻信用呢,会不会还有其他的潜在问题呢?所谓“信心贵入黄金”,如果对于此问题都无解,都是用户的问题,那用户凭什么相信呢?
作为一个第三方支付从业者,理解支付宝在实名认证上策略的无奈:要在用户体验及安全性上取得较好的平衡很难。目前主流的实名认证手段(身份验证:进行银行卡验证的网站都是怎么进行验证操作的? – 梁川的回答)本质上无法真正认定“你就是你”,只要知道对应证件信息的人,都可以轻松绕过实名认证过程。但要采用打随机金额、上传证件等方式,体验上又非最佳。
可以说,基本上所有的支付公司都存在类似实名认证的困境。
但此次事件暴露的问题,个人认为主要集中在:
支付宝公关、运营人员整体的策略是一如既往地将问题归罪于用户自己的隐私信息泄露,强调支付宝安全体系的NB,并未从产品流程、运营流程甚至KPI指标角度去总结问题的根源。
自证系统的安全性及先进性对解决问题毫无帮助,用户需要的是专业的产品设计、应对问题的快速、专业的响应,只有这样才能建立起用户对系统的信任和信心。
就这个事,我也电话了支付宝客服。既然这些账户都实名认证在我的名下,那就是说这些账户都是我的,我要求冻结这些账户所有资产。(其实我是想把这些账户资产转入我账户的。)
客服:不行。需要提供这些账户的ID,才可以。
我问:当初绑定时,怎么没问他要ID。
客服:……
不过不管怎么样,他死活要多重证件,才肯解除那些绑定,果然是然并卵。
大家群策群力,想想办法严惩不法之徒,以及傲慢的支付宝。
胡乱不负责的猜测一下,当初为了融资,阿里默许了刷销量的行为(也许更甚),所以打开了这个后门。其实他们一直知道这个问题,并坚决不修正,现在还在装大瓣蒜。
支付宝声称被关联源头是资料丢失,应该是客户自己担责。然而,客户的资料是酒店和其它资料库被破解所致,客户几乎没有过错。更重要的是,客户丢失的也并非足以验证实名支付宝的资料,说到底还是因为支付宝的实名验证逻辑有漏洞:
身份证号和实名的关联验证,银行卡号和实名的关联验证,但身份证号和银行卡号的对应不验证,导致留下了可以用一个身份证破解全部重名身份证的漏洞,支付宝难辞其咎。
装逼时间:
我在去年八月就在知乎提过这个漏洞了,今天才引起注意,只能说支付宝过于自大,低估了互联网黑产者的能量。
中国互联网有哪些黑色产业链? – 知乎用户的回答
以下摘自原答案:
淘宝号用处很多,但是支付宝不实名就没有用。于是,就有人出售能够用来实名的资料以及账号,使用的时候,可以让你顶掉原拥有者的账号,于是有些人的账号就被莫名其妙顶了,或者发现自己被关联了很多号,这个原理是什么嘞?
为防社工库和黑产高手利用大量资料搞僵尸号,支付宝实名目前使用了一套安全度极高的实名验证方式,即跟公安系统联网。
一、检查银行卡姓名和身份证姓名是否对应
二、身份证号加姓名是否真实对应
三、银行预留手机号以及验证码和银行卡是否对应
或支付宝打进这个银行卡号的那笔款项是否正确。
这是一个非常聪明的办法,相当于变相把账号注册的难度和银行的安保级别挂钩了,因为没办法用虚假身份办银行卡,这样对于买手机号,查身份证号的人,就傻眼了。
但是聪明的你一定发现了,这里有一节是断的:
就是身份证号和银行卡号不要求对应。
代表什么呢?
假如你叫李刚,中国有百万李刚,通过某些社工库,能搜到上千个李刚的开房记录,包括身份证号,然后,他只要掌握了一张李刚的银行卡,那么,当当,他可以用这张银行卡匹配全部李刚的身份证号,拿来做新的实名账号也可以,关联这些李刚已有的支付宝也可以,真李刚自己是不知道的。
于是,就有了一大堆资料和实名账号,于是四个月前,每个支付宝账号领一瓶友宝一分钱领饮料的时候,广州某些地铁站,大学城附近,常常有行家里手带着拉杆箱运饮料,然后晒恒大冰泉洗澡。
作为中招用户,我也不专业地评价一下。
支付宝的实名认证功能 “很不明智”:主账户在没有任何通知和确认的情况下就可以被其它账户关联、主账户无法取消绑定子账户,甚至主账户连子账户的全名都看不到。主账户完全无法控制子账户的权限、行为及后果。
同时评价一下支付宝的这个声明(一个正常的支付宝实名认证账户下会不会出现… 来自支付宝),我只想说,写这个声明的人 “很不明智”,还真是一副 “我是你爹” 的嘴脸。
看到下面的那么多客服问题,我也坐不住了,9.30号我第一次使用UBER打车,本着时间紧的原因使用了支付宝代扣服务,后来想,太危险了,万一支付宝被别人用了怎么办,想要解绑,发现居然不能解绑。
重点来了,联系客服,客服说她们不负责,要我联系UBER发邮件申请解绑代扣,幸好之前看到过知乎大神的文章知道可以,态度强硬了点,中午帮我转到了第二个客服,这个客服也跟我磨磨唧唧了半天说不能解绑,我就问,钱都放在了你们支付宝了,都从你们这里扣,怎么就不行了,最后妥协,帮助我发邮件给UBER,5天之后解除成功,看到网上自己联系UBER的,大多数都没成功解除~还是支付宝的客服真的嫌麻烦,不管事,千方百计推脱!!!
用户:客户端没有手势密码!
支付婊:你买我保险,被盗我赔你100万
用户:你的账户系统有bug
支付婊:你买我保险,被盗我赔你100万
欢迎继续造句。
看到这篇文章于是我找了半天才找到实名认证哪里可以点进去看。
然后发现我特么也中招了。
然后我又找了半天没有找到哪里可以申诉的地方。
刚才(30分钟前)我登录我的支付宝还发现有5个已经绑定我的身份证,现在(2015-10-10 21:43:49)查看发现只有我自己的帐号了。不知是支付宝紧急处理了,还是只是做了屏蔽(我猜测绝对是不让你看见而已,也不让新来的用户发现自己账户下有多个子账户)。