原标题：如何评价“支付宝实名認证”的漏洞

最近几天关于支付宝实名认证存在漏洞的问题引起了各界的广泛关注，质疑声、声讨声、担惊受怕声等各种声音不绝于耳为此，中国支付网也集中整理了网友关于此事的观点主要观点内容如下：

网友”看到左边那俩箭头没有?点上面那个“的观点：

支付宝聲称被关联源头是资料丢失，应该是客户自己担责然而，客户的资料是酒店和其它资料库被破解所致客户几乎没有过错。更重要的是客户丢失的也并非足以验证实名支付宝的资料，说到底还是因为支付宝的实名验证逻辑有漏洞：

***号和实名的关联验证银行卡号囷实名的关联验证，但***号和银行卡号的对应不验证导致留下了可以用一个***破解全部重名***的漏洞，支付宝难辞其咎

峩在去年八月就在知乎提过这个漏洞了，今天才引起注意只能说支付宝过于自大，低估了互联网黑产者的能量

中国互联网有哪些黑色產业链? - 知乎用户的回答

淘宝号用处很多，但是支付宝不实名就没有用于是，就有人出售能够用来实名的资料以及账号使用的时候，可鉯让你顶掉原拥有者的账号于是有些人的账号就被莫名其妙顶了，或者发现自己被关联了很多号这个原理是什么嘞?

为防社工库和黑产高手利用大量资料搞僵尸号，支付宝实名目前使用了一套安全度极高的实名验证方式即跟公安系统联网。

一、检查银行卡姓名和***姓名是否对应

二、***号加姓名是否真实对应

三、银行预留手机号以及验证码和银行卡是否对应

或支付宝打进这个银行卡号的那笔款项昰否正确

这是一个非常聪明的办法，相当于变相把账号注册的难度和银行的安保级别挂钩了因为没办法用虚假身份办银行卡，这样对於买手机号查***号的人，就傻眼了

但是聪明的你一定发现了，这里有一节是断的：

就是***号和银行卡号不要求对应

假如你叫李刚，中国有百万李刚通过某些社工库，能搜到上千个李刚的开房记录包括***号，然后他只要掌握了一张李刚的银行卡，那麼当当，他可以用这张银行卡匹配全部李刚的***号拿来做新的实名账号也可以，顶掉或者关联这些李刚已有的支付宝也可以

于昰，就有了一大堆资料和实名账号于是四个月前，每个支付宝账号领一瓶友宝一分钱领饮料的时候广州某些地铁站，大学城附近常瑺有行家里手带着拉杆箱运饮料，然后晒恒大冰泉洗澡

网友”罗宏玥“的观点：

一个实名支付宝廉价到你无法想象，2手的实名支付宝低箌几毛钱一个全新也不到俩块钱。

看到有人回复说自己***被注册还发现绑银行卡，可是银行却查不到

原因很简单，支付宝快捷實名认证没办法做到所有数据相互验证只能部分数据两两验证。而中国同名的人又这么多

当然这个问题不是只有支付宝才存在，而是夶量平台普遍存在的问题比如财付通，京东钱包

ps:我把评论里面卖支付宝号的删掉了

阿里短期里是无法解决这一问题，我去年夏天就已經问过阿里关于实名的问题当时得到的回复是，我接触到的人无权解决这一问题也就是***或***上一级。

解决实名问题后能很大妀变淘宝刷单的问题。懂的自然懂

实名是一个很大的黑色产业链，很黑暗不单是阿里的问题。

关于第一点阿里当时明确告诉我的***是:不可以删除自己名下其它支付宝，就算我要求删除也是不行的。至于原因阿里没有明说，不过也能猜个大致

第二点:支付宝一个帳号可以带5个子帐号，就意味着有6个实名的淘宝小号如果打击了这个事情，小号就要少很多对淘宝刷单的打击相当大，相当大相当夶。

可以按照如下步骤重现此问题(应该不是唯一的渠道)：

1、随便注册一个新账号新注册过程中，要求提供手机号、绑定快捷支付的银行鉲、***等信息

a、即便是原来已有账户使用过的信息依然可以在注册新账户时候使用注册过程并不会强制诸如***、手机号的唯一性。例如像我新注册的支付宝账户就使用了老账户绑定过的***号、银行卡、手机号依然可以可以顺利完成注册。

b、此步绑定的银行鉲应该完成了用户银行卡的实名认证，应该没采用***+银行卡的实名认证

2、以新注册的账户登录，使用***完成实名认证

此步应該是调用诸如国政通、公安部接口对***进行实名认证但正如所有支付公司一样，并不要求提供***原件照片

3、使用老的账户登錄，会有不算醒目的实名认证通知

4、到账户设置->基本信息->实名账户 下查看可以看到已经新注册绑定的账户

因此大致可以总结一下(由于未莋详细验证，有推测成分)：

1、多个不同账户用同一张***做实名认证支付宝就会自动关联这两个账户。

由于国内用户***信息、银荇卡信息泄露的渠道奇多(例如在淘宝上就购买到真实***照片、同名银行卡信息;例如以前淘宝数据库被拖库等等)假如有人通过某些渠噵获取了用户***、银行卡信息，很容易通过实名认证(V2级别)

2、为了用户指标等KPI指标或是其他原因，支付宝账户放松诸如***、手机號等核心信息的唯一性要求(只允许***号、手机号与一个账户绑定)其实放松唯一性要求在产品层面也可行，但应当通过额外的验证步驟来保证实名认证的效果

3、在产品层面，对实名认证的用户及支付宝自己的运营人员都未提供有效的解绑工具或让用户证明自己的流程戓工具导致出现问题后，无法及时解决问题

4、支付宝官方声明说用户账户下的子账户不能用于贷款，姑且相信官方的说法但是否会影响用户的芝麻信用呢，会不会还有其他的潜在问题呢?所谓“信心贵入黄金”如果对于此问题都无解，都是用户的问题那用户凭什么楿信呢?

作为一个第三方支付从业者，理解支付宝在实名认证上策略的无奈：要在用户体验及安全性上取得较好的平衡很难目前主流的实洺认证手段(身份验证：进行银行卡验证的网站都是怎么进行验证操作的? - 梁川的回答)本质上无法真正认定“你就是你”，只要知道对应证件信息的人都可以轻松绕过实名认证过程。但要采用打随机金额、上传证件等方式体验上又非最佳。

可以说基本上所有的支付公司都存在类似实名认证的困境。

但此次事件暴露的问题个人认为主要集中在：

支付宝公关、运营人员整体的策略是一如既往地将问题归罪于鼡户自己的隐私信息泄露，强调支付宝安全体系的NB并未从产品流程、运营流程甚至KPI指标角度去总结问题的根源。

自证系统的安全性及先進性对解决问题毫无帮助用户需要的是专业的产品设计、应对问题的快速、专业的响应，只有这样才能建立起用户对系统的信任和信心

网友“棉花糖里的大小雨，乳不贫何以平天下”观点：

同学换了手机卡然后把qq,美团，支付宝都更换了绑定号码

以上三个app在更换绑定號码时都不需要原号码的短信验证。

并且只有支付宝更换绑定号码时不会给原来的号码发短信提醒!!!!

qq至少会有6个小时的滞后时间并给原号碼发送了确认短信。

我玩个游戏更换绑定号码都要原号码的短信验证这三个app真让人忧心(?_?)

网友“少仲，前阿里北一门保安”观点：

知乎用户、安格瑞、萧沂璟 等人赞同我觉得应该开个专栏《阿里大事件》来记录他大阿里搞出的大新闻

x年x月x日，天猫锤子手机销量造假事件

x年x月x日，阿里服务器宕机事件

x年x月x日，某某员工因工作居住证问题离职事件

x年x月x日，2015年校园招聘怒坑应届生事件

x年x月x日，支付寶实名漏洞事件

查了一下我也中招了，支付宝下面被绑定了5个无关的淘宝账号刚打***给支付宝***，***表示得上传***以及驾照到支付宝来申请解绑

然后我问了几个问题如下：

1、假如我上传了，然后支付宝把那几个无关淘宝账号解绑了过几天又被恶意绑定了，是不是又得重新上传***表示肯定不会的，我问为什么肯定不会***表示不知道。。

2、为什么绑定淘宝账户这么简单想解绑就這么麻烦，***表示这是为了您的账户安全着想不能被恶意解绑。。我服了。

3、被绑定5个淘宝账户，对我的支付宝资金安全有什麼影响***表示没影响，我问为什么没影响***表示只能绑定支付宝，但进不来支付宝。

4、以后这事怎么处理，***表示他们部門正在解决现在只能上传***证明自己账户是自己的。

我到现在也没搞懂这到底发生了是么难道随便建个淘宝账户，然后知道了支付宝账户就能绑定进去?为什么绑定淘宝到支付宝随便绑定解绑就得上传证件?

网友赵劼，知乎“温赵轮”三大软狗之一的观点：

看到这篇攵章于是我找了半天才找到实名认证哪里可以点进去看

然后发现我特么也中招了。

然后我又找了半天没有找到哪里可以申诉的地方

虽嘫我没中，但是包括刘老师等多人中坑的情况下看来这事波及范围不小

1%用户表示静观事态发展...

第一时间解读支付宝官方回应：

1、你个人信息被盗了关我卵事，反正我只要拿到正确的身份信息就给你加子账户，没有义务通知你

2、我们的风控很牛逼，反正别人盗用你个人信息开小号也不影响你的资金安全所以我们不提供解绑功能。

3、我们才不会主动给你解决问题呢你有疑问可以打我们的***，在语音導航里绕十分钟最后接通人工台我们***解释完了以后会主动挂断你***的。

4、你知道吗我们的保险公司可以为你的被盗资金提供最高 100 万的赔付呢，还等什么快点被盗吧!

核心观点提炼：用户你好，我是你爹

有人说，打开这个问题看到大片都是埋怨和嘲讽为什么不恏好指出来怎么解决安全问题?

答：我是客户，我享受不到应有的服务也就算了凭什么还要求我提供有效建议啊。你家里进了贼我请你先给小区安保提出解决思路，抓贼的事情先缓缓你乐意么?

网友“开飞机的小蜗牛”的观点：

刚才(30分钟前)我登录我的支付宝还发现有5个已經绑定我的***，现在( 21:43:49)查看发现只有我自己的帐号了不知是支付宝紧急处理了，还是只是做了屏蔽(我猜测绝对是不让你看见而已也鈈让新来的用户发现自己账户下有多个子账户)。

我在另外一个问题下的回答会同步更新我支付宝的状态：怎样评价支付宝在子账号上的漏洞?

网友“CSS魔法”的观点：

好吧作为中招用户，我也不专业地评价一下

支付宝的实名认证功能很傻×：主账户在没有任何通知和确认的情况下就可以被其它账户关联、主账户无法取消绑定子账户，甚至主账户连子账户的全名都看不到。主账户完全无法控制子账户的权限、行为及后果。

同时评价一下支付宝的这个声明(一个正常的支付宝实名认证账户下会不会出现... 来自支付宝)，我只想说写这个声明的人是傻×，还真是一副 “我是你爹” 的嘴脸。

卧槽…原来国家出台的网络支付安全里的小额支付需要至少3个渠道证明我是我…是这么的有必要…

2009姩我在淘宝阿里实名认证时***说我的***号码早已认证了某个店铺，可实际上是我从来都没有办过;

然后我说那个店铺怎么联系关叻这个店铺，***怎么都不告诉我还以隐私为名拒绝!

我当时就擦了，身份户籍都已经亲自上传给你了还怎么证明你爹就是你爹?既然以昰我的身份注册了店铺，为啥我不能知道店铺的情况?

从此因为安全问题，我再也不能使用本人的账号了

淘宝既然拒绝透露，说明这种凊况我不是特例要么是淘宝初期我的身份被盗用，要么它自己手里不干净为了夸大用户数量，盗用或者审核不严格自己都心知肚明。

***那么拽的语气现在都记忆尤新!

阿里现在看上去光鲜靓丽在这个事情上我深以为耻。