“百度钱包”在78秒之内被盗刷970元,用户紧急冻结账户后,“黑客”还是完成了1笔消费。3月10日,网友@娃娃是乖的发微博曝光第三方支付平台疑似存在安全漏洞。
“百度钱包”被盗刷970元
12日,武汉晚报记者联系上博主吕女士。她几年前就开通了“百度钱包”进行手机支付业务,今年春节前她还用“百度钱包”完成了一笔交易,一直都没有出过问题。
3月9日下午,她的手机在1分18秒之内接到“百度糯米”客服发来的5条短信,提醒她团购了50份某面包品牌的团购券,共计970元。“当时手机和信用卡都在身上,团购券也不是我买的。”吕女士连忙致电银行冻结信用卡,然后向“百度糯米”客服申请退订团购券,并要求冻结账户。就在她的“百度钱包”账户被冻结后,其中1份价值194元的团购券还是被消费了。
“这不像是人为盗刷,而是‘百度钱包’的系统被黑客攻破了,否则怎么可能冻结账户后还能消费?”吕女士自称是名IT人士,很懂互联网后台营运的安全问题。她要求“百度钱包”给个说法,但对方工作人员建议她直接报警。
客服称用户泄露信息
当天,记者致电“百度钱包”客服,工作人员称安全控件会对手机的支付环境进行扫描,假如系统有漏洞被黑客攻破,则支付行为不可能完成,且后续也不能冻结账户。他认为是用户自己泄露了账户信息,导致账户被他人盗用,后台发送的支付密码的短信也被拦截。他们愿意配合警方从后台调阅账户的详细信息,但不能赔偿用户的经济损失。
百度糯米客服则表示吕女士的“百度钱包”账户已经解冻,但被盗刷的投诉仍在处理中,稍后会与她联系。
“我只在手机上使用‘百度钱包’,而苹果手机定期升级,软件都是***的,客户端不太可能有安全漏洞……”吕女士想不通自己是怎么泄露账户信息的,她认为唯一的可能还是“百度钱包”的服务器存在安全漏洞。
“百度钱包”曾承认有漏洞
记者在网上搜索“百度钱包被盗刷”关键词,发现最近两年全国多地发生过类似案例,最多的一夜之间被盗刷5000多元,有的甚至连消费的短信提醒都没收到,且冻结银行卡账户也阻止不了消费行为。
沈阳杜先生的“百度钱包”一晚上被盗刷8笔共5767元,事后“百度钱包”负责人向辽沈晚报记者承认:盗刷主要原因是黑客通过多种渠道盗取客户的网络账号密码,而后将所有信息拿到第三方支付平台进行盗刷。对此,“百度钱包”虽然有完整的行为监控策略和风险主动识别机制,对盗用行为能在事中进行识别和拦截,但仍有极少数的漏网之鱼。对于这些账户所有人非主观过失导致的账号被盗、资金损失,“百度钱包”设立了完整的相应案件受理和赔付指引流程,积极承担全额赔付责任。
但是,“百度钱包”客服向武汉晚报记者坚决否认自身系统存在安全漏洞,也没有相关的赔偿条款。