2、四川人社：它所起到的作用 ， 大家也都看得懂 。 两条短信验证码 ， 关键的资料全泄露出去了 ， 但我不好说他有什么罪 ， 毕竟他们本身也不是金融机构 ，对个人信息的保护要做成什么样也没个标准 。
但这个事情没那么简单 ， 把四川人社换成XX人社或者四川XX ， 也可能是一样的结果 ， 这个黑产链设计的时候身份证号码的获取途径可以是多处的 ， 至少我随便在网上下载几个地方社保APP ， 都能找到和四川人社一样登录和密码找回使用手机短信验证的 。

本文图片


本文图片

3. 华为：其实把华为换成小米 ， 结果也是一样 。 我只能说密码找回这个业务的验证太简单了 。
还有就是网上说的用emui 5.0的手机 ， 可以远程解锁屏幕锁屏密码 ， 这个我没验证过 ，但从我支付宝被挤下线时提示对方使用的手机型号来判断 ， 大概率是可以的 。
4. 支付宝：先不说为啥同一个身份信息 ， 可以注册两个账号 ， 你的快捷绑卡 ， 是加快了绑卡的便捷性 ，但考虑过安全性么？当然 ， 支付宝的风控是强 ， 确实识别到了异常交易 ， 也追回了资金 。
但实名认证的人脸识别被绕过 ， 也是事实 。
5. 美团：你要发展业务 ， 放宽贷款限制 ， 这我不关心 ， 但你能否做好该有的贷款审批风险控制 ， 凌晨4点的贷款行为 ， 这正常么？
6. 苏宁金融：所有参与这个过程的支付机构中态度最恶劣的一家 ， 出现案件 ， 接到用户报案后第一时间想到的是推卸责任 。 “报案了么？如果警方有需要 ， 我们会做好配合工作！哦你的经济损失啊 ， 那只能你自己承担了” ， 中间来过两次电话 ， 基本腔调就是这样 。 同样是支付公司 ，支付宝的风控能识别异常盗刷 ， 苏宁金融就一点察觉都没有 ， 一个新注册的账号 ， 凌晨三四点绑卡 ， 然后购买各种虚拟卡、充值话费这些不容易被追查的商品 ， 这不算高风险异常行为么？
7. 银联云闪付:和其他支付公司一样 ，都存在绑卡验证不严的问题 。 但是 ， 人家态度是好的啊 ， 凌晨3、4点 ， 客服人员都能用极好的态度和我们沟通 ， 让我们放宽心 。 第二天有专员联系我们 ， 告诉我们昨晚报的损失少报了 ， 他们查出来我们还有其他损失 ， 并给了详细的指引告诉我们怎么去申请理赔 ， 第二天他们内部调查有新的进展也都第一时间联系并告知我们 。
8. 财付通：人工客服太难找了 ， 不过风控也还是有效的 ， 这两天在没有通知我们的情况下 ， 陆陆续续追回了几笔交易金额 。
9. 京东：不想说了 ， 反正就是“交易已经发生了 ， 损失你自己承担” ， 但还好就一笔100元的游戏充值卡 。
10. 百度：对方刚好操作到它的时候短信功能已经被我关了 ， 对方也只是绑定了银行卡 ， 还没来得及消费 ， 就不用找它理论了 。
多数支付机构基本都有一个现象：
允许用不同的手机号码注册相同实名认证的支付账号 ，
允许两个账号绑定相同的银行卡 ，
实名认证有人脸活体识别技术的都被绕过了 。
支付机构都在推“快捷绑卡” ， 是快捷了 ， 点几下鼠标就绑卡了 。 除了短信验证码 ， 支付宝的快捷绑卡还验证了下支付密码 ， 但好像意义也不大 ， 比如我这种情况 ， 支付账号都是别人用我的信息新建的 ， 支付密码也是他设置的 。
说完他们 ， 最后再来说说咱们吧 。
通过这几天的经历 ， 不管中间情节有多少起伏 ， 我作为一个有10多年信息安全从业经验的老骆驼 ， 都要被折腾成这样 ， 我实在是不想让大家有跟我相同的经历 。 提个我认为我们个人能做的最简单最有效的防护措施：

稿源：(21世纪经济报道)

【】网址：http://www.shadafang.com/c/hn10119619332020.html

标题：支付宝|一部手机丢失后有多可怕？多平台中招，支付宝、银联紧急回应( 八 )