第三方支付安全隐忧：仅凭手机号就能修改信息
2012-07-30 09:58:36   来源：Chinaz   评论：0 点击：

　　不少人将自己的手机号码和资金账号捆绑，通过短信告知功能，用户能实时掌握自己的账户变动信息。不过，也正因为此，手机或许也是一颗“定时炸弹”，不经意间就会泄露了机主的“天机”，遭受财产损失。
　　
　　第三方支付：手机号码就能修改信息
　　
　　今年1月，一名高姓男子在获取了某支付宝账户主的身份证号码和银行卡号后，拨打客服电话就修改了密码，并随后将对方账户内的26万元转走，此类事件的发生透露出了第三方支付安全的隐忧。
　　
　　现在大多数第三方支付的用户都会绑定手机号码，而且都会觉得第三方支付是一种安全可靠的交易工具，但记者发现，仅用一个在相关网站上注册过的手机号码，用户的第三方支付信息就可以被轻易篡改。一旦手机丢失，失主失去的除了手机也许还有预存在第三方支付账户中的余额。
　　
　　记者以自己的财付通账户做了实验，在输入了手机号码后，点击“忘记密码”，此时网页上就会出现几种找回密码的方式，如通过QQ号码、手机号码、EMAIL都可以找回。记者选择了通过手机号码找回密码，根据网站上“输入手机号码获取验证码”的提示，记者再次输入了自己的手机号码，很快就收到了一条验证码，在输入了验证码和设置了新的登录密码后，网站就显示“新登录密码设置成功”。不仅登录密码通过手机号码就能改，其支付密码也可以通过手机接收验证码的方式进行修改，修改结束后，则会收到一条修改支付密码的告知短信。
　　
　　记者发现，除了财付通之外，支付宝同样也可以仅通过手机号码接受验证码的方式重新设置登录密码和支付密码，也可以更改绑定的手机号码，而修改完毕后，记者并没有接到短信通知。
　　
　　银行：手机号码不能作为修改信息的唯一凭证
　　
　　相比于第三方支付企业个人信息修改的“简捷”，一些银行的安全措施就相对而言比较到位了。
　　
　　记者查看了工行、建行、邮政储蓄银行等网站，发现仅凭一个手机号码不能在银行的网站上进行操作，几乎所有的银行在登录时都要求填写账号、用户名或证件号，而不会仅凭一个手机号码就能登录。
　　
　　工行客服人员告诉记者，如果没有开通手机银行，手机丢失一般不会给银行卡带来风险，即使打电话到客服，没有银行卡账号和需要核对的一些卡主的相关信息，也无法对个人资料进行修改，除非卡主把一些银行卡信息存在了手机里。
　　
　　那么，开通手机银行后还安全吗？建行的客服表示，手机银行有密码保护，即使他人捡到遗失的手机，在不知道密码的情况下，也无法使用手机银行业务。
　　
　　不少银行也有“忘记密码”时进行的操作提示，如建行，忘记密码后需要用户填写姓名、身份证号、账号、取款账号等多项资料。
　　
　　专家：加强身份验证和密保技术
　　
　　上海信息安全行业协会的相关人士表示，一个手机号码就能篡改个人信息，说明在个人身份认证这个环节上做的还不够，“比如，用户要用手机找回密码，除了给手机发送验证码之外，完全可以再设置一点其它的密保问题，一般用户在注册时就会填写密保问题，这样就能对个人的身份认证更加准确。”
　　
　　此外，还可以通过密码技术对个人信息、隐私文件等进行加密处理。“一个手机号码登录账户，账户信息一览无遗，如果加上密码技术，即使人家登录了账户，也无法看到里面的内容。就如银行的保险箱，对客户放在其中的东西进行加密，假如被盗，别人只能得到这个保险箱，却无法取得里面的东西。”该人士告诉记者。