特别推荐:

支付网址导航

联行号查询系统

支付牌照查询

MCC查询

二清POS查询

首页 >> 支付风险 >> 内容
微付通支付平台安全漏洞可致数据库泄露(用户密码竟然明文存储)

时间:2015-4-9 1:45:38

   “做移动支付的企业,居然明文保存用户的账号密码!”在看到乌云漏洞报告平台上白帽子提交的一则支付企业漏洞信息后,一位从事网络安全工作的人士发出了如此感慨。

  3月19日,乌云披露,微付通支付平台安全漏洞可导致数据库泄露(用户密码竟然明文存储),危害等级“高”,漏洞状态显示“已交由国家互联网应急中心处理”。

  意外的是,早在2014年3月,乌云平台也披露了有关微付通的相似漏洞,称微付通android客户端敏感信息被明文存储,请求的url中包含明文用户名和密码;用来加密、验证的数据明文可以直接获取。

  对于白帽子披露出来的问题,相对于缺乏专业网络安全知识的普通用户,可能并不能完全理解其深意,但是对于“明文存储密码”这样的表述,很多用户还是能理解其所指的。

  安全行业内人士指出,由于明文存储用户敏感信息会使得系统在遭受攻击时泄露,因此互联网企业,尤其是从事支付、电商交易储存有大量用户信息的企业,在存储用户信息时,更要进行加密处理。

  明文存储违背技术标准

  微付通是北京微付天下科技有限公司运营的手机pos机产品,据其网站介绍,该产品可为商户提供便捷、高效、低成本的移动支付服务。用户下载微付通app,进行注册登记后,可以享受转账汇款、酒店、机票火车票预订等功能。

  在乌云平台披露出微付通的安全漏洞后,不少用户不禁担心起该平台的运营安全。乌云平台合伙人邬迪对法治周末记者说,从平台披露的情况看,“说明他们至少这么干了已经一年了”。

  中国软件测评中心专家宋铮对法治周末记者介绍,明文形式存储用户密码属于安全漏洞,从广义上来说也算是一种系统设计缺陷,可以说是因为系统设计安全意识不足,没有采用加密存储等措施对于用户密码等敏感信息进行保护,从而导致系统存在安全漏洞。

  “该漏洞会导致用户信息泄露风险,对于金融系统而言,甚至会威胁财产安全。”宋铮介绍,鉴于明文存储存在非常大的安全隐患,在金融行业是不被允许的,《非金融机构支付业务设施技术要求》《非金融机构支付业务设施检测规范》等行业标准中也均要求对用户密码做加密存储,明文存储用户密码是不被允许的。

  其实,此前互联网行业就因明文存储用户密码出现过很大的安全风险事件。公开资料显示,2011年12月,国内知名技术社区csdn(中国软件开发联盟)遭到攻击,600万用户的登录名、密码及邮箱遭到泄露。天涯社区、世纪佳缘等网站以及多个电商平台均受到影响,且相继被曝出用户数据遭泄密。

  赛迪信息物理系统测评实验室专家张德馨对法治周末记者介绍,自从csdn事件后,有影响的密码明文存储安全事件尚未发生,但是用户重要信息明文存储还是出现过,其中2014年携程网明文存储用户支付信息的事件影响比较大。

  “这说明一些企业为了开展业务的方便,对用户信息安全的重视程度还不够。”张德馨说。

  猎豹移动安全专家李铁军对法治周末记者介绍,鉴于明文存储用户敏感信息安全风险非常大,从csdn事件后,互联网行业就很少有企业以明文的形式存储用户密码,大多都会进行加密处理。

  多位安全行业人士在接受记者采访时均表示,没有任何一个系统是完美无缺的,都会存在或多或少的缺陷,重要的是企业在知晓漏洞后要及时进行修复。

  那么微付天下公司是否关注到该漏洞,并采取相应的修复措施呢?4月1日,法治周末记者同微付天下公司进行联系,公司网站仅公布有客服电话,一位客服表示其只是负责售后服务,并不知晓公司同媒体对接部门的电话。

  记者随后向公司网站公布的邮箱发去采访函。4月4日,记者再次致电该客服电话,另一位客服人员称公司相关负责人暂时不在公司,其会代为转达采访事宜。不过截至4月6日记者发稿时止,微付天下公司尚未就上述问题作出回复。

  支付企业易受黑客青睐

  由于第三方支付涉及资金的流转,其向来是黑客们“钟爱”的下手目标,近两年来不时传出第三方支付被黑客攻击,盗取用户信息和账户资金。

  2014年3月,据媒体公开报道,上海某第三方支付公司平台内数万名用户信息被盗,后上海警方侦查发现,是黑客入侵了该公司的后台系统,盗取了用户账户信息,共有6000余个有资金的账户被盗,总计金额达20余万元。

  艾瑞咨询研究员宋杨对法治周末记者表示,根据艾瑞的调研,在“移动支付需要改善的问题”上,62.4%的用户选择了“提高交易的安全性”。

  “支付安全可以说是支付企业的生命线,尤其是一些大型的第三方支付企业,更是严加防范,防止安全事件的出现;一旦出现类似事件,像支付宝等都有赔付机制。即便如此,安全事件的出现也会让企业的声誉受损,影响用户的忠诚度。”宋杨对法治周末记者说。

  而为了保护用户的资金支付安全,2010年,央行发布了《非金融机构支付服务管理办法》,对第三方支付行业采取了牌照管理方式,即要经营支付业务,必须取得央行的行政许可。

  而要获得央行的行政许可,支付企业必须在注册资本、出资人、高管人员等方面符合要求,此外,运行的系统也必须取得技术安全检测的认证证明。

  中国支付清算行业协会业务协调部杜晓宇在接受法治周末记者采访时表示,在支付企业的技术安全监测认证方面,2011年央行还专门发布了《非金融机构支付服务业务系统检测认证管理规定》(以下简称《规定》),对支付机构的业务系统提出了具体要求。

  《规定》指出,业务系统检测包括但不限于功能、风险监控、性能、安全性检测和文档审核,其中安全性检测就包括业务系统在网络安全、数据安全、运行维护安全等方面的能力及管理措施,评价其安全防护和管理水平。

  同时,为了确保检测的科学客观,《规定》还要求支付机构不得连续两次将业务系统检测委托给同一家检测机构。

  “对于有牌照的支付机构来说,由于有央行的严格监管和现场检查,安全防护水平一般是有保障的。”上海泛洋律师事务所合伙人刘春泉对法治周末记者说。

  无支付牌照机构不能独立开展业务

  艾瑞咨询的研究报告显示,2014年,第三方移动支付市场交易规模达到59924.7亿元,较2013年增长391.3%,已经连续两年保持超高增长。

  强劲的增长潜力也刺激了更多的机构投身其中。对于支付业务许可证的申请,央行也未做数量限制,鼓励所有具有资质的第三方支付企业在支付服务市场中平等竞争。无论是国有资本还是民营资本,只要符合办法的规定,都可以取得支付业务许可证。

  截至2015年4月,央行就第三方支付已经发放了270张牌照。不过记者在采访中了解到,尽管目前央行未对支付机构做数量限制,但是仍然有一些从事支付企业的公司并没有获得牌照。

  为了开展支付业务,便选择和有支付牌照的机构进行合作。对于这些机构,央行并没有提出对平台系统进行专业的安全性测评的要求,其安全防护水平不得而知。

  对于运营微付通的北京微付天下科技有限公司,法治周末记者未在其公司官网看到相关资质证明,也未在已获央行许可的支付机构中查询到其获得有支付牌照。记者以客户身份咨询微付通一位业务人员,其告诉记者,微付通是同一家获得央行支付牌照的公司进行合作。

  杜晓宇坦言,如果其不是获得支付牌照的公司,那么央行就很难要求其平台达到央行所要求的技术检测认证水平。

  中国政法大学金融法教授刘少军对法治周末记者表示,合作机构可以为持有支付牌照的机构提供其他服务,但不能以自己的名义独立开展支付业务,否则就相当于持有牌照的机构将牌照租赁给合作机构,这是监管机构所不允许的,也是违规行为。

  “持有牌照的支付机构一直处在监管机构的严格监管下,需要100%存兑付金,系统安全也有保障,而如果合作机构自行设立支付账户,系统的安全性、资金安全都将因为缺乏监管存有很大的风险。”刘少军说。

  刘春泉对记者表示,持有牌照的支付机构为了拓

>>信用卡积分查询

>>POS错误码查询

>>支付监管机构列表

>>POS代理商查询

>>POS代理商QQ群

>>批发市场白名单

>>全国企业信用查询

>>银行卡BIN查询

>>征信查询

>>POS裸机批发

>>招聘网站列表

>>POS交易通道

>>POS代理商推荐

>>POS流量卡批发

分享到:微信QQ好友QQ空间新浪微博腾讯微博人人网百度贴吧百度新首页一键分享复制网址
  • 上一篇:通过拉卡拉设备被盗刷万元,银行:我们已尽力了!
  • 下一篇:预付卡陷入市场僵局!备付金是什么?
  • 返回顶部
    0.38秒到带积分,高分润秒结!
    立即联系