招商银行借记卡的恶意消费漏洞
版权声明:转载时请以超链接形式标明文章原始出处和作者信息
本文链接:http://www.penddy.com/china-merchants-bank-debit-card-malicious-consumer-vulnerability.html
一、背景
如果你用过携程,不知道是否曾经使用过借记卡付款。盆地上周是第一次在使用,当时由于时间较晚且较为紧张,通过送票形式已经来不及,于是选择了借记卡付款。
但是,在选择借记卡付款后,发现只需要输入卡号、姓名、身份证号后,不需要输入密码既可以成功支付。
非常震惊,赶快咨询携程和招行,得到的答复是这个是为了方便用户开展的一项代扣服务,要求乘坐人必须为本人、身份证号码和卡号必须正确,且金额在5000元以内。
盆地个人认为上述限制虽然可以一定程度上防范问题,但由于连目前楼下保安都可以登记你身份证的国情下,上述三个信息的泄漏简直是常态。就盆地的疑问,招商银行客服无法解答,说会反馈上去后三个工作日之内予以联络。
招行的时间观念”很强”,在三个工作日的最后一天临近傍晚时联系了盆地,根据负责此业务的联系人解释,当前此功能对所有用户默认开通,无法针对某人关闭;另外,针对问起出现恶意消费情况下的处理,回答居然是要根据当时情况来处理,无规定流程。针对此客服的回答,不知道是不是盆地太苛责,个人感觉无法接受。
二、问题
1.用户不知情情况下开通此功能
根据向招行客服了解,目前针对所有用户开通,并且无法关闭。
2.存在恶意消费漏洞
只需要知道别人姓名、身份证号、卡号就可以恶意消费别人卡中余额,即可以实施损人不利己的行为。
3.恶意消费处理流程不清晰
招行此业务的负责人电话告知出现恶意消费的情况下,无处理流程,要根据当时情况处理。作为处理资金的银行机构,此回答让人惊诧。经过多次确认,此工作人员依然回答没有此流程的规定,需要根据情况判断,并且无法回答或举例回答处理方案。
作为银行客户,个人完全不可理解在此类资金处理问题上的不负责任态度。
而在携程的网站,仅给出了请妥善保管个人信息的提示,但未给出出现问题如何处理的说明。
三、求助
有什么银行的网上银行和服务是比招行好一些、持平的?
招行目前的服务水准越来越让人难以接受,包括当时号称相对高端的财富账户也已经好多年没有更新过程序了,和个人网上银行专业版则频繁更新比起来,实在不知道相对高端在哪里。
2009.7.14 更新:
在招行官网的社区论坛中看到如下相关信息,算是比较细致的一个答案,可惜还是没有给用户选择权。
——————————————————
无协议直付通暂不支持关闭
目前无协议支付合作的商户只有携程网与南方航空。
目前国内机票为实名制,客户订票需要提供身份证件,登机时机场安检部门会再次严格核验客户身份证件,并留存客户录象备案。
业务流程中,我行会严格验证客户的银行卡号及其提供的登机人姓名、证件号码的一致性,保证客户用于支付的银行卡为乘机人本人的银行卡,而且对购买的机票张数及总金额都有限制。因此,机票业务属于实名制可追溯业务,电子支付的风险相对较小。我们与商户签订协议时也明确指出,如果客户使用无协议支付发生风险,客户产生的所有损失都是由商户来承担。目前该业务运行两年来也没有发生过风险。
更具体详见帖子详情:招行客户有权益知晓当今有关“无协议直付通”的问题。
——————————————————
(完)
相关文章
标签: 借记卡, 招商银行
If you're new here, you may want to subscribe to my RSS feed. Thanks for visiting!