WooYun Zone镜像——快捷支付和某些信用卡功能是否存在缺陷?知道银行卡号和有效期就能消费!

admin 8月前 143

快捷支付和某些信用卡功能是否存在缺陷?

我是小号 | 2014-08-22 10:13

现状:

乌云上曾经有人爆料信用卡只要知道银行卡号和有效期就能在某些网站上进行任意消费,同时各大支付产品比如财付通,支付宝开通快捷支付只需要提供银行卡号,身份证号,姓名,和手机号码就能开通快捷支付功能,开通后就可以在网站上用我们的银行卡进行任意消费。

但是我们在一些网站注册的时候总不能避免要提供自己的身份证号码,银行卡号,姓名和手机号码,比如下面这个网站,就需要个人开发者提供以下信息:

需要个人开发者提供以下信息

以上需要提供的信息满足快捷支付开通的所有需要的信息,当然我相信大网站肯定不会拿我们的信息做违法的事情,但是在大数据时代,安全事件的发生就有可能泄漏我们的这些信息(比如:存储上面这些信息的数据库被下载,有猪一样的员工私自保存上面这些信息在自己的电脑并存入自己的网盘然后他/她的账号被盗)

当然只需提供信用卡号和有效日期带来的风险就更大,很多时候需要提供银行卡复印件。

一些精明的知道这个流程的骗子就已经拿来实践:

疑问:

1.在银行卡的安全体系内,在ATM机上存取现金有密码(输错若干次数冻结账户)保护,网银消费有U盾和口令牌(一般动态口令比较随机很难猜测),前面这两个很难泄漏或者是被复制,但是在快捷支付和一些功能上面只需要提供身份证信息和手机号码就能绑定和支付,相比前两个防护措施是否十分脆弱?是否存在安全漏洞?因为不少人已经有这样的安全意识:不能把密码和口令牌号码告诉人家,但却不知道快捷支付的类似校验过程,在网络生活中可能无法避免不把身份证号,姓名,和银行卡号码,手机号码提供给第三方,而这时保护你的银行卡的只隔了一层薄薄的“验证码”,通过爆破或者入侵用户网上营业厅查看用户的短信详单,或者是一些用户启用了短信云同步。。。

2.如果说存在缺陷,在银行不做出相关措施进行强化保护,但是有时候我们又无法避免的要把银行卡号,身份证号码,姓名,和手机号码透露给第三方。那我们应该如何保护自己的账户安全呢?

各种吐槽:

1#

李白 | 2014-08-22 10:19

图片不能看点进去刷新即可

2#

s3xy | 2014-08-22 10:27

没办法。需要用户体验和安全都做好

3#

plaaywindc | 2014-08-22 12:02

据说还有知道卡号姓名 身份证号码就直接出钱的通道

4#

小胖胖要减肥 | 2014-08-22 15:51

1 厂商要做的当然不是一个简单的流程,风控需要一个体系,整套系统支撑

2 问题肯定无法避免,但可以保持在一定范围内,支付宝是10万分之1

3 用户自身应该提高安全意识,网站提供主动获知安全功能,保证用户能够自我关注

还是生态圈的问题

5#

火星人 (蛋疼的地球人) | 2014-08-22 16:09

手机需要验证码


最新回复 (0)
返回
发新帖