在支付沒有與互聯(lián)網(wǎng)、移動終端綁定時(shí)，很多人希望：有朝一日能夠過上“即看即付”的快捷支付生活。但當(dāng)互聯(lián)網(wǎng)金融、第三方支付以最快的速度實(shí)現(xiàn)了人們上述夢想時(shí)，風(fēng)險(xiǎn)隱患也跟著來了。而今，大到轟動全球的互聯(lián)網(wǎng)“心臟出血”事件，小到支付領(lǐng)域頻頻出現(xiàn)的支付安全漏洞，都在提醒著人們，對于網(wǎng)上支付行為要多一分謹(jǐn)慎……

　　未經(jīng)授權(quán)的“搶票”

　　“五一”小長假之前，在北京工作的小張受老家親友之托，幫助其在國內(nèi)某知名旅游信息網(wǎng)上訂購一張無錫至北京的飛機(jī)票。由于航班座位緊俏，小張用最快的速度搶到票，進(jìn)入支付環(huán)節(jié)。

　　“我用信用卡支付，剛剛填完卡號和信用卡有效期，正準(zhǔn)備填寫之后信息時(shí)，網(wǎng)頁突然顯示‘本次操作無效，請重新輸入’，當(dāng)時(shí)我以為是同一時(shí)間搶票的人太多，可能有人快我一步搶走了這張票。”據(jù)小張說，恰好在這時(shí)，無錫的親友打來電話說，考慮到節(jié)日游客太多，如果還沒有買到票，就換個(gè)時(shí)間再來北京。“可我剛剛掛了電話，就收到了銀行信用卡中心的短信提示，并告知我有一筆費(fèi)用已經(jīng)完成了預(yù)付款。緊接著，我收到了航空公司的出票提示。”

　　明明操作沒有完成，甚至還沒有走到輸入支付密碼這一步，銀行和航空公司就在未獲得授權(quán)的情況下“幫”小張“搶”到了這張機(jī)票，這讓已經(jīng)習(xí)慣使用移動支付的小張犯了懵。

　　“我給銀行信用卡中心打電話，得到的答復(fù)是信用卡中心已經(jīng)收到了我授權(quán)支付這筆資金的請求，并且迅速給予了支持。之后我又致電這家旅游信息網(wǎng)的24小時(shí)客服，對方告訴我，雖然我沒有輸入支付密碼，但我輸入了足以代替支付密碼的信息，比如信用卡有效期。”小張說，從10年前開始使用信用卡至今，他從來沒有認(rèn)為信用卡有效期能夠替代支付密碼，這次經(jīng)歷給他最直觀的感覺，就是網(wǎng)站儲存了他的信用卡支付數(shù)據(jù)。

　　最終，小張為退票支付了近70元的違約金，對于這次經(jīng)歷，小張頗感無奈。事實(shí)上，就在他購買這張機(jī)票前不久，今年3月，這家旅游信息網(wǎng)站已經(jīng)被爆出客戶信息泄露的負(fù)面消息。

　　3月下旬，漏洞報(bào)告平臺“烏云”（“WooYun”）對外宣稱，小張所選擇的這家旅游信息網(wǎng)站，其安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露（包含持卡人姓名身份證、銀行卡號、卡CVV碼也就是人們通常所說的信用卡效驗(yàn)碼、6位卡Bin）。對此，該網(wǎng)站回應(yīng)稱，“烏云”所爆信息系此前技術(shù)人員未刪的臨時(shí)日志，已在兩小時(shí)內(nèi)修復(fù)，并已通知93名潛在風(fēng)險(xiǎn)用戶更換信用卡并適當(dāng)補(bǔ)償，尚未發(fā)現(xiàn)網(wǎng)站用戶信用卡被盜刷情況。

　　但事情并未就此了結(jié)。銀率金融研究中心信用卡組分析師孟麗偉隨后表示，上述網(wǎng)站還涉嫌存儲用戶信息卡信息的問題。“在用戶提供的案例中，有些用戶反映說首次通過這些在線訂票網(wǎng)站訂票時(shí)，只輸入信用卡卡號、姓名、信用卡有效期、CVV碼以及申請信用卡時(shí)填寫的身份證號就可以完成支付，整個(gè)過程不僅沒有轉(zhuǎn)入網(wǎng)銀平臺或第三方支付公司支付通道，也沒有輸入支付密碼、查詢密碼以及交易驗(yàn)證碼。如果只是網(wǎng)站商戶方違規(guī)操作，是無法實(shí)現(xiàn)支付的，銀行一方也脫不了關(guān)系。”孟麗偉稱。

　　中國銀聯(lián)風(fēng)險(xiǎn)管理委員會印發(fā)的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定：“各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識代碼及卡片有效期。”對此，這家平臺表示，將在交易完成后刪除客戶的CVV信息，不再保存，以前保存的CVV信息正在予以刪除。未來一旦確認(rèn)因該平臺漏洞引起用戶損失，平臺愿承擔(dān)全責(zé)賠償。但該事件引發(fā)的人們對于支付信息安全的擔(dān)憂卻尚未平復(fù)，小張的經(jīng)歷就發(fā)生在這家平臺表態(tài)之后。

　　“便捷”雙刃劍

　　微信錢包、支付寶錢包、銀行各種移動支付平臺……這幾年，很多人享受到了“邊走邊結(jié)賬”的快速支付帶來的便利。但正如來誼電子CEO徐海光所言，在支付領(lǐng)域，便捷性和安全性某種程度上存在矛盾，必須平衡好兩者的關(guān)系。而業(yè)界人士總結(jié)，僅在今年短短4個(gè)月時(shí)間內(nèi)，就先后出現(xiàn)了“攜程漏洞門”、“二維碼支付欺詐”、“OpenSSL‘心臟出血’漏洞”等一系列信息安全風(fēng)險(xiǎn)事件，將互聯(lián)網(wǎng)金融的信息安全風(fēng)險(xiǎn)推向了風(fēng)口浪尖，也讓如何有效防范此類風(fēng)險(xiǎn)事件成為業(yè)內(nèi)廣泛探討的焦點(diǎn)。

　　“表面上看，用戶完成一筆支付或許是幾秒鐘的事，但在其后臺，用戶個(gè)人信息游走于電商平臺、第三方支付機(jī)構(gòu)和銀行之間，其中任何一個(gè)環(huán)節(jié)出現(xiàn)問題，都有可能泄露用戶信息，給用戶的資金安全帶來影響。”對此，一位互聯(lián)網(wǎng)行業(yè)分析師這樣表示。

　　對此，銀監(jiān)會法規(guī)部副主任王科進(jìn)表示，第三方支付的出現(xiàn)便捷了人們的支付，同時(shí)也有一些漏洞，時(shí)有發(fā)生銀行賬戶被盜用，個(gè)人信息被泄漏，被不法分子利用個(gè)人信息突破了銀行和第三方支付識別的關(guān)口，“我們處理過很多起這類案件”。

　　“第三方支付更講客戶體驗(yàn)的便捷，但是也要考慮安全的問題。目前第三方支付也提出了很多保護(hù)措施，比如推行的用戶保障計(jì)劃，對客戶的資金損失進(jìn)行補(bǔ)償，很多提出了‘你敢用我敢賠’，如果發(fā)生了支付的錯誤損失，我就賠付你，這是根據(jù)大數(shù)原理進(jìn)行賠付的，以提高客戶對第三方支付安全的信心，應(yīng)該說這種補(bǔ)償方式是有一定效果的，但是它是一個(gè)事后的補(bǔ)償方式，也僅適合于小額的資金損失。所以，我們應(yīng)該更重視事前的風(fēng)險(xiǎn)防范。”王科進(jìn)表示。

　　“懷揣敬畏之心”

　　5月上旬，“清華五道口互聯(lián)網(wǎng)金融全球論壇”上，央行支付結(jié)算司副司長樊爽文表示，從事金融活動者應(yīng)有敬畏之心。

　　“電子商務(wù)企業(yè)或其他互聯(lián)網(wǎng)企業(yè)不能以攪局、顛覆或是革命的心態(tài)去做金融，否則對金融環(huán)境是災(zāi)難。因?yàn)闅w根結(jié)底，互聯(lián)網(wǎng)金融屬于金融范疇?；ヂ?lián)網(wǎng)企業(yè)一旦經(jīng)營難以為繼、關(guān)門大吉，影響有限，損失的可能只是自有資本或者加上幾個(gè)PE/VC。但是，任何一家金融服務(wù)提供者，其生死存續(xù)已經(jīng)不僅僅是自己的事，而是關(guān)乎一定群體、一定區(qū)域，甚至影響整個(gè)金融系統(tǒng)，不可不慎。”樊爽文這樣說。

　　就支付安全領(lǐng)域而言，一些個(gè)案的發(fā)生也催促著客戶與機(jī)構(gòu)提高對支付信息安全的關(guān)注度。比如，針對小張的經(jīng)歷，業(yè)界表示，這屬于無需密碼支付的信用卡“離線交易”，這種支付方式只需信用卡卡號、有效期、卡背上的3位CVV安全碼等便可以完成交易。CVV安全碼相當(dāng)于信用卡“第二密碼”，因此持卡人不妨用貼紙把背面CVV碼蓋住，刷卡時(shí)做到卡片不離開本人視線，不提供卡片信息給他人。

　　在P2P領(lǐng)域，北京某P2P平臺負(fù)責(zé)人表示，雖然有越來越多的P2P平臺選擇利用第三方支付來保障用戶的支付安全，但任何平臺都有數(shù)據(jù)安全方面的潛在威脅，去年底就發(fā)生了一些P2P平臺在兌付日遭受黑客攻擊的情況，現(xiàn)在很多平臺也在著手完善風(fēng)控技術(shù)。

　　目前，IT行業(yè)也逐步認(rèn)識到安全問題的重要性。據(jù)了解，百度、阿里巴巴、騰訊等為代表的IT企業(yè)都在加強(qiáng)各自在移動互聯(lián)網(wǎng)及移動支付領(lǐng)域的安全投入和布局。

　　在中國金融認(rèn)證中心總經(jīng)理季小杰看來，數(shù)據(jù)安全在技術(shù)方面主要體現(xiàn)在3個(gè)方面，一是后臺數(shù)據(jù)庫安全，二是數(shù)據(jù)傳輸安全，三是數(shù)據(jù)容災(zāi)備份。后臺數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅；數(shù)據(jù)傳輸安全可以通過結(jié)合數(shù)字證書等安全認(rèn)證機(jī)制和傳輸加密機(jī)制來保障；數(shù)據(jù)容災(zāi)備份是數(shù)據(jù)安全的一項(xiàng)基礎(chǔ)安全防護(hù)措施。