“太恐怖了吧!”在遭到一名白帽黑客对其新浪微博测试性攻击后,知名台湾魔术师刘谦在新浪微博上发出惊呼,不过众多用户并没有如期见证奇迹,因为这一漏洞已经迅速被新浪弥补。
“雷声大雨点小”的互联网用户名和密码“泄密门”,终于落到了互联网巨头新浪身上,1月4日晚,据一家公司透露,由于新浪爱问存在SQL注入漏洞,大约7000万明文存储的密码出现外泄,一些采用和新浪爱问相同用户名和密码的用户的微博账号可能存在被盗风险。
而昨天新浪爱问发表公开声明称,“由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪账号存在被盗号风险,我们已紧急修复此漏洞。”
和此前CSDN和天涯等用户名和密码库泄露不同,此次新浪爱问的问题只能被称作“已修复的漏洞”,到目前为止,尚没有任何用户受到真正的影响,该白帽黑客将这一漏洞告知新浪方面,新浪随即修复了漏洞。据一位安全公司专家介绍,如果该漏洞遭到攻击,并造成实际影响,那么问题将非常严重,但现在就像微软经常都要公布修复“重大漏洞”一样,没有造成实际影响,“互联网天生就是一张网,漏洞非常多,任何时候都会存在。”
“安全漏洞并不那么可怕,也不是毫无威胁,就像经济泡沫一样,没有破裂前,就不是问题。”知名网络评论人士刘兴亮告诉《第一财经日报》记者。由于我国加大了对网络盗号团伙的打击力度,过去曾经频出的用户信息被公开泄露的情况,近年来已经少了很多。
针对业内频出的安全漏洞,瑞星和金山的安全专家均提醒,即使没有问题,用户最好也要经常修改密码,并且对不同的重要账户要采用单独的密码。
央行拟要求互联网支付账户实名制
发布互联网支付业务管理办法征求意见稿,“不得利用信用卡透支为支付账户充值”
昨天,央行发布《支付机构互联网支付业务管理办法(征求意见稿)》,拟要求互联网支付账户的开立需要实行实名制,这意味着互联网支付将正式步入“实名”时代。
此外,央行还规定“不得利用信用卡透支为支付账户充值”。此次征求意见1月13日截止。
不得开立匿名支付账户
按照央行征求意见稿规定,支付机构对客户身份信息的真实性负责。个人客户申请开立支付账户时,支付机构应登记客户的姓名、性别、国籍、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限等身份信息,并对客户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行审核。支付机构不得为客户开立匿名、假名支付账户。
这意味着,网络支付账户实名制将被强制推行。据了解,目前部分互联网支付企业虽然开通了实名认证服务,但仅是企业出于自身业务需求的自发行为,并非监管部门的硬性要求。
据了解,占据网上支付半壁江山的支付宝从创立开始就推出实名认证制度。用户可以通过向银行卡打款验证或绑定银行卡的方式完成实名认证,只有实名认证用户才能开店或使用正常的收款等功能,而未通过实名认证的消费者仅能进行最普通的购物付款。
易观国际分析师张萌表示,近一两年大中型互联网支付机构逐渐开始对新增注册账户实行实名制,但仍有部分互联网支付尚未实行实名制。
一家已经拿到支付牌照的互联网支付企业人士向记者透露,去年申请第三方支付牌照时,央行曾提出从反洗钱的角度应该执行开户实名制,从那个时候开始,该公司就执行了开户实名制的认证,但老的存量客户到底怎么办央行并未规定,公司也是不断发信息给老客户建议把资料补齐,但没有强制要求。
叫停信用卡充值
由于交易便捷、成本低廉且存在监管缺失,第三方网络支付在迅猛发展的同时,也逐渐成为洗钱、套现等灰色行为的多发地带,如信用卡充值就是其中一环。
此次征求意见稿第二十条中就明确提出:“客户不得利用信用卡透支为支付账户充值。”
事实上,不少网民为了节省信用卡的透支提现费,经常利用互联网支付账户来实现“中转”。如王女士用信用卡给支付宝充值500元,再通过支付宝转账至借记卡中,从借记卡取出现金,这样王女士就可以不支付信用卡提现的费用,完成“信用卡套现”。
张萌表示,信用卡不得为支付账户充值,这样将鼓励更多真实的网上消费,利用信用卡直接消费,将钱直接打入商户账户内。
央行规定,支付机构只能为电子商务交易、公用事业缴费、信用卡还款、购买特定金融产品或经中国人民银行批准的其他业务提供互联网支付服务。同时,支付机构只能发展互联网特约商户。
此外,支付机构应免费为客户提供上溯一年的支付信息查询服务。支付机构调整互联网支付服务的收费项目、收费标准时,应通过有效方式提前30天通知客户。
支付机构应登记客户相关信息
(一)单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外);
(二)可证明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;
(三)法定代表人(负责人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。
支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。
■ 企业声音
“叫停信用卡充值将影响用户支付体验”
有企业反映,叫停信用卡充值会很大程度上影响支付体验,带来诸多不便。
根据央行规定,客户应通过关联银行账户为支付账户充值。未关联银行账户的,可通过非关联银行账户或经中国人民银行批准的“仅限线上实名支付账户充值”的同一支付机构预付卡为支付账户充值。但对充值额度有明确限制,通过非关联银行账户或同一支付机构预付卡充值的,同一客户的充值金额月累计不得超过1000元。
一互联网支付企业人士称,“在网上买件大物,如家电、机票,动辄都是好几千的,充值金额的限制无疑将使这些大额购物受到影响,用户体验会有所下降。”上述人士表示。“客户不得利用信用卡透支为支付账户充值”这一条最终执行,意味着绝大多数的互联网支付企业需要进行改变,影响面较大。
易观国际分析师张萌也表示,目前该办法仅是征求意见,或许正式文件会有所改变。
■ 分析
执行非易事 假名难查出
事实上,业内认为,实名制执行起来并非易事。“填写假的姓名和身份证号码,支付机构并不一定能查出来,以前曾出现过类似的情况。”一支付机构人士表示。
因此,此次征求意见稿中央行特别要求,客户在同一支付机构开立的所有支付账户须关联本客户银行账户,支付账户的名称应与该客户所关联的银行账户名称一致。支付机构应通过有效方式,对支付账户所关联的银行账户信息和客户身份信息进行核验。
对于个人客户向在同一支付机构开立的所有支付账户月累计充值金额合计小于1000元的,可不关联银行账户。未关联银行账户的支付账户可用于付款、接受交易退款,但不得用于收款。
据了解,目前支付机构核实实名真假有两个途径。一是支付账户已经关联银行账户的,可将提交的身份信息与银行卡账户信息匹配,因为银行卡开户时已经进行了一次实名开户,这样审核起来较为轻松。二是将提交的身份信息与公安部身份信息系统对接,但由于上公安系统查询身份信息需要收费,对于企业来说也增加了成本。
此外,对于资金流动较大的账户,如个人支付账户单笔收付金额超过1万元,个人客户开立的所有支付账户月收付金额累计超过5万元或资金余额连续10天超过5000元的,支付机构还需留存个人客户的有效身份证件的复印件或者影印件。
■ 背景
去年第三季度互联网支付规模超6000亿
近几年,互联网支付业务规模扩张迅猛,现已处于第三方支付的主流地位。在已获央行第三方支付牌照的101家企业中,近半数企业获得互联网支付牌照。易观国际的数据显示,2010年,互联网支付交易规模占整个第三方支付市场的份额高达96%。艾瑞咨询的统计数据显示,去年第三季度全国支付行业互联网支付业务交易规模超过6000亿元,这还不包括广阔的线下支付市场。
2011年,央行先后下发两批第三方支付牌照,并陆续就商业预付卡、客户备付金等出台监管细则,2011年因此被第三方支付业称之为“监管年”。但是作为第三方支付领域的主导,关于互联网支付的监管细则却迟迟未能正式出台。
据业内人士介绍,央行对互联网支付管理办法的态度可谓慎之又慎,自2010年下半年起,央行曾多次召集支付企业讨论监管办法,并起草了多个版本的征求意见稿,每个版本都有较大改动。此次正式公布的征求意见稿属于较为“温和”版本。
上述人士分析称,监管层之所以态度谨慎,一方面是由于互联网支付占据较大市场份额,另一方面则是因为市场规模日益走高的同时,支付安全问题也日益凸显,相对于预付卡、银行卡收单等其他细分领域,互联网支付安全问题最为复杂,监管政策必须尽可能地从制度层面遏制支付风险。
易观国际分析师张萌表示,相对于此前的版本,央行此次下发的征求意见稿强调业务合规,可操作性有所提升,更贴近于互联网支付行业发展的现状。(新京报)(苏曼丽)
站内导读:
[粤出入境政务网400万数据裸奔 当当支付宝卷入泄密门 网传上亿用户银行卡信息遭泄露]
[京东商城曝安全漏洞 人人称数据泄露是谣言]
[天涯4000万用户密码遭泄露 新浪微博用户密码疑遭泄露]
[传人人猫扑数据库亦被盗 多玩网数据泄露已证属实]
[河北博客:中移动吉祥号用户被死亡 内部员工泄露客户信息]
[河北博客:WordPress服务器遭入侵 VIP客户源代码泄露]
[浙江快递物品实行“准实名制”当场验视内件 网站疑遭恶意下单 市民未购物6网站送货上门]
[河北博客:北京将定网站实名制办法 社会组织将与政府脱钩]
[杭州网络实名制追踪]
[河北博客:多家注册商称工信部将开展国际域名实名制审核]
