AlipayHK 支付寶HK 今日向傳媒發出一份聲明,以對今日在網上流傳關於 AlipayHK 安全問題的傳言作出回應。由 AlipayHK 發佈之聲明詳細內容如下:
「今日於網上流傳並討論懷疑有人透過AlipayHK盜用及連結受害人的信用卡以進行交易之安全問題,AlipayHK一直都有嚴格的保安措施並遵從監管機構的指引保障用戶的使用安全。
經深入了解後,發現有人於其他場合竊取了個別市民的信用卡卡號、到期日及安全碼,並試圖透過AlipayHK進行未經授權之交易。 所有通過AlipayHK以信用卡扣款方式所進行的交易成功後,發卡銀行會發出短訊通知用戶;而當用戶於賬戶內連結信用卡時,AlipayHK亦會凍結$0.1以作授權憑證,信用卡公司則會發出短訊或電郵通知卡主。故此,不論是完成信用卡交易或連結信用卡,一旦發生盜用情況,用戶皆可即時獲悉。為確保用戶能夠成功收取相關短訊,建議與銀行確認聯絡方法準確無誤。
AlipayHK採用的是業內通行的信用卡交易操作流程。如發現可疑交易,用戶可即時與信用卡公司聯絡,或報警求助,AlipayHK亦會盡力配合警方的調查。 有關報道亦提到近日懷疑有多宗同類型事故發生,然而客戶服務部關於信用卡被盜引發的可疑交易查詢宗數並無異常。
AlipayHK一直遵從相關機構的監管及指引,並以用戶的使用安全為立足之本。我們感謝社會上的監察和意見,亦會不斷改善及提升服務質素,令市民可安心使用。」
事件源自有網民聲稱信用卡被盜用
早前網路上有 Facebook 群組「前線科技人員」上有用戶發表文章,指自己並無安裝支付寶HK,但信用卡被人盜用以開立支付寶HK帳戶,過程中該網民聲稱「收不到任何通知」,到了信用卡過數時才收到通知,該網民懷疑支付寶HK的開戶流程發生問題。以下為該帖文的原文(註:以下文章之「小編」為 Facebook 群組「前線科技人員」的編者,以下引號內的文章全屬從該群組轉載的原文內容):
「
*** 以下是小編的親身經歷 ***
前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。
小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,顯然騙徒所過數的金額已觸及二段認證的的額度,故這兩個交易未能成功過數。
今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡過數,確認了以下的事實:
1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料。
3)過數後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費
4)支付寶(香港)對新增信用卡的首次交易,並沒有要求信用卡以二段認證身份(小編的理解是除了金額高於特定額度的交易外,商戶亦可以主動要求信用卡以二段認證身份,而支付寶顯然沒有這樣做。小編非信用卡業內人仕,這點如有錯誤,請指正)
5)支付寶(香港)對可疑的過數手法,例如新戶口在短時間內多次過數,並沒有任何阻礙或要求進一步認證
除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功過數並消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。
現時本港類似的電子錢包各有不同的認證方法,例如 PayMe 需要用電話影身分證,Apple Pay及 Google Pay 則需以信用卡登記電話收 SMS 認證,唯獨支付寶(香港)不需任何認證。我們前線科技人員認為金管局及警方應從速行動,檢討並統一類似的電子錢包的認證要求,以保障市民的財產安全。
」
資料來源:AlipayHK, Facebook「前線科技人員」群組