Categories: 資訊保安

PayMe Alipay 過數大漏洞 第三方撳鏈結可取錢

Published by
angel

2020年5月15日20:20更新:Alipay HK發表最新聲明回應今次事件

 

由於移動支付(Mobile Payment)的付款過程十分方便,只要在手機按兩按,便完成付款或轉賬,因此移動支付越來越盛行,但同時也衍生出安全問題。近日,香港有市民在使用 PayMe 時,發現在進行單對單轉賬時,第三方竟然可以取走款項。

 

根據蘋果日報報道,事主鄭小姐利用手機應用程式 PayMe 向朋友轉賬 6000 元時,將取款的發到 WhatsApp 群組內,卻遭另一位同於群組內的朋友,利用鏈結提取了款項;因而發現 PayMe 的付款鏈結並非限於指定對象提取,只要第三方在款項未被任何人提取前,進入取款的鏈結,便能成功取去款項。

鄭小姐認為普遍用家的理解是,在 PayMe 轉賬時輸入收款人的電話號碼,等同在銀行櫃員機輸入對方的戶口號碼過數,只有收款人才能夠取得款項,而第三方不可能可以透過超連結取得款項,因此 PayMe 應盡快堵塞此漏洞。另外使用 AlipayHK 支付時,若將Whatsapp連結放在群組中,也存在類似的保安漏洞問題,一樣可以在群組中按下連結便可收到款項。

而 unwire 小記也實試過在Whatsapp群組中,將 Payme 及AlipayHK付款連結放入群組,第三者的確可以如常按下連結,並可成功取得該款項。

Payme情況:

支付寶情況:

 

AlipayHK 就文中所提及的保安疑慮作出了回應,詳細聲明如下:

AlipayHK轉賬功能旨在提供多種收款方式予用戶選擇,包括透過「即時轉賬」、「轉數快」、「WhatApp」和「SMS」。透過AlipayHK不同的轉賬方式,用戶可配合需要選擇轉賬給任何人。

 

用戶可以選擇「即時轉賬」或「轉數快」方式給指定AlipayHK或轉數快賬戶;而因應用戶對轉賬社交化的需求,增設透過社交平台轉賬的方式。有關社交平台設計不存在任何漏洞,原理與「現金支票」(不劃線支票)或利是類似,用戶可選擇發送轉賬鏈結給收款人以完成轉賬,需要收款人點擊以確認收款,收款人亦可選擇將相關鏈結分享給另一收款人,提高轉賬的靈活性和自主性。

 

用戶亦可於交易紀錄中查閱所有轉賬方式的最終收款人賬號,方便對賬,若對該交易存有疑問,AlipayHK可會提供協助;而AlipayHK智能風險管理系統亦有相應措施偵測並阻截不法分子。與此同時,AlipayHK注重用戶體驗,定期了解最新的用戶聲音並研究提升產品體驗方案,以滿足用戶不同階段的需求。

資料來源:蘋果日報, AlipayHK

Published by
angel