支付宝存漏洞被诉 网络应用商被指轻视安全
支付宝因安全问题被诉,当当网账户裸奔,钓鱼wifi臭名昭著,淘金贷卷款跑路……中国网民,面对接二连三的互联网信息安全事故,你是否心惊肉跳?
专家认为,这与应用开发商在“吸引用户”和“安全”间更倾向前者有关。在维权上,法律仍较为落后。
第三方支付被批“形同虚设”
电子商务成交额的飙升,让第三方支付安全备受关注。
2003年,中国第三方支付行业交易额尚不足10亿元。而该数据在去年已达2.1万亿元,是9年前的2100倍。
支付的核心是安全,却不省心。
福建省建清籍余先生在日本东京工作,他将矛头指向了中国国内最大的第三方支付平台支付宝。
“去年9月,我和网友小扑约定用支付宝担保交易功能,进行人民币和日元的兑换。”余先生说。
双方约定,小扑先向余先生的支付宝账户打入4.1万元人民币,余先生确认后,再通过银行转给小扑等额日元。
谁知,小扑想空手套得这笔日元。
小扑自称手上有批货,让小戴将货款通过支付宝打到余先生账户,并称该账号属于自己。
小戴照做了。而余先生误以为这笔钱是小扑所付,就依约将钱转出。小扑就此消失,余先生和小戴双双被骗。
气愤不过,余先生一纸诉状,将支付宝诉至法院。
“本案交易虽在小扑一手策划下完成,但其能够得手的根源在于,支付宝担保交易模式存在重大漏洞,即未对交易双方真实身份、交易详情予以审查,导致支付宝线下沟通的双方可能与线上交易的双方不同,信息不对称让行骗者有机可乘。”余先生通过代理律师告诉中新网记者。
对此,支付宝(中国)网络技术有限公司公关部工作人员朱健的回应是:支付宝只是根据用户指令进行操作,并在事后妥善冻结了有关款项,在这过程中并未做错什么,若最终走向司法途径,支付宝会依照判决履行责任。
据悉,在此之前,支付宝也因同样问题被起诉。
面对第三方支付平台形同虚设的指责,朱健称,支付宝是根据中国人民银行颁布的《非金融机构支付服务管理办法》开展业务,对指责“无话可说”。
记者了解到,第三方支付被指“形同虚设”已非首次。
今年6月,网络贷款公司“淘金贷”上线一周后突然不能登录,网站负责人失踪,逾80名投资者所投资资金尚未追回,涉案金额逾百万元。
近日,央行公布第四批支付牌照名单,包括网易、苏宁在内的95家新公司获牌。至此,全国已有196家企业获得第三方支付牌照。而多数支付平台与P2P贷款网站合作模式均为“直接支取”,安全问题一触即发。
中国电子商务研究中心分析师莫岱青认为,经历多次泄密事件后,以安全性为代表的软实力将成为电商竞争的归宿。届时,安全性终将与便捷性、顺畅度等一起,成为衡量电商网站的重要标准。
当然,网民更为关心的是,法律能否发力?
记者了解到,用户与第三方支付平台的关系在法律中显得很微妙。
浙江泽大律师事务所律师姚小娟认为,第三方支付平台并非金融单位,而是一个委托代收、代付机构。平台与用户的关系,中国目前尚无特定法律,而是沿用《合同法》进行管理。
“在实际操作中,不能彻底归结到《合同法》中的情形时有发生。总体来说,该领域的法律较为滞后。”姚小娟说。
账户被盗、钓鱼wifi等问题层出不穷
除第三方支付平台之外,个人信息安全同样让网民如履破冰。
当当网、京东商城(微博)、1号店等多家网站被曝账户信息泄露。当当网更被爆出“半年3次信息被盗”。
就连风头正劲的免费wifi也未能幸免。
有一则消息引起轩然大波,消息称在公共场合搭建一个免费wifi信号,吸引他人连接后,15分钟即可窃取上网用户个人信息和密码。
更有钓鱼客将“钓鱼”直接挪到了免费WiFi当中来进行,仿冒淘宝、腾讯、各大银行等“有利可图”的网站。
《2011-2012年中国互联网安全研究报告》显示,“2011全年新增钓鱼网站数量达45万个,网民平均每浏览14个网站就会遇到一次钓鱼网站。
目前绝大多数钓鱼网站服务器均在境外,并不断更换域名实施“游击战”,这给执法部门造成障碍的同时,也往往让消费者追讨无门。
是网民不小心还是监管者不力?
信息安全问题频现,是网民不小心,是应用开发商不谨慎,还是监管不给力?
专家认为,问题与诸多软件开发商在“吸引用户”和“完善安全”之间更倾向前者有关。
北京邮电大学信息安全中心副教授、硕士生导师李晖介绍,第三方支付平台问题、信息裸奔和钓鱼wifi问题,分别属于信息安全领域的认证、存储和传输安全。
“网络认证十分脆弱,安全性和可用性一定程度上是矛盾体。”李晖建议,应用提供者应该对所有用户全面认证,除安装防火墙外,还应该对存储关键部分加密。如此一来,即便遭到了入侵,对方也无法读懂加密数据实际含义。
此外,监管也是道举足轻重的防线。
作为拥有阿里巴巴、网盛、支付宝等大批知名互联网企业的杭州,其监管无疑极具代表性。
杭州市公安局网警分局局长陈柳先介绍,为加强行业自律,杭州已形成企业自律、行业监管、政府督导三管齐下的局面。
此外,杭州对计算机互联网系统的大小进行了分级,越重要的系统,等级越高。一、二级系统保护分别由企业、政府指导。最高的三级保护则要求在互联网企业的重要安全信息系统进行等级保护。警方会请专业的测评公司对三级系统进行测评,发现漏洞后进行整改。
不过,对于用户来说,除提高警惕,选择安全性较高的网络品牌,并且保存好聊天记录、支付记录、交易记录等证据之外,暂无它法。
据悉,自1994年来,中国颁布了一系列与互联网有关的法律,包括《电子签名法》、《中国电信(微博)条例》、《互联网信息服务管理办法》等,刑法、民法等法律有关条款也适用于互联网管理。