再谈P卡泄密事件:更多安全漏洞爆出
美鸥网在前两天的新闻中,报道了跨境电商行业知名第三方支付工具Payoneer(以下简称P卡)客户信息泄密事件,参见美鸥网公众号10月11日报道文章<P卡爆出重大安全隐患:将卖家流水泄露给竞争对手>
事件的原委是这样的:P卡客户在与自己的投资人发生纠纷之后,投资人请第三方,也是该客户的竞争对手,给P卡与自己相熟的客户经理打电话,索要该客户的P卡流水,该客户经理没有征得客户的同意的情况下,将数据提供了出来。
此事件一经报道,在跨境电商行业掀起轩然大波,于是P卡官方紧急发布了一条公告。
据P卡官方公告宣称:”此次事件涉及客户公司内部的经济纠纷,经查,此账户为企业账户,纠纷双方均持有该账户的相关信息,并通过注册手机和邮箱进行账户查询。事件之后,派安盈通过各种手段积极联系客户,以了解情况,核实信息。目前该账户已冻结, 请账户持有人及企业法人与我们积极取得联系,解决问题。”
根据美鸥网掌握的消息是:该账户由该客户名下个人独资企业注册,注册手机号为客户私有,没有交由其他人使用。
该客户认为:“与投资人之间的纠纷,其他人的客户经理也不可以把我的账号流水给到他一个客户。”且不论该客户内部纠纷如何,这不属于p卡所应该干涉的范围。
对于P卡而言,难道不是谁是账户的持有人,谁就拥有该账户唯一合法的管理权限,包括账户流水查询吗?不知道P卡是否对这一点认同?
个人独资企业,有且只有一个股东,不存在账户共有情况。
仅仅提供公司名和注册邮箱就可以查询账户明细,那么,我们可以设想一下:使用自己的QQ邮箱进行注册P卡账户的卖家不在少数,也就是说,你如果知道某公司名字以及法人的QQ号,你给P卡打电话查询他的流水,按照P卡的规定,是可以查询到的。
很多人都有给银行打电话查询自己信用卡消费信息的经历,通常这种查询需要哪些流程呢?须使用银行预留的手机号拨打查询,须提供注册人的身份证号码或者信用卡号验证,须提供预留的查询密码。
在P卡平台,市面上最常见的账户安全辅助保护功能,比如说短信验证,预留问题验证,统统没有。
至于更高一级比如说u盾,密码管理器等,更是无从谈起。
这样的账户安全保护措施已经称不上简陋了,而是完全没有.
此外,据悉,p卡是跨境电商行业常见的几种第三方支付工具中,少有的推出账户之间可以直接转账的功能。
这样的创新行为当然值得表扬,但是在转账过程中不需要验证收款人的名字,不需要输入支付密码,更没有其他第三方辅助保护工具,比如说手机短信验证。仅仅掌握了P卡的登陆邮箱和密码,就可以把账户余额转给另外一个P卡账户。这样的功能,在便利同时,也无限放大了客户账户资金安全的风险 。
在小编看来,作为一个支付公司,最核心最重要的是什么?安全,安全,还是安全!
作为一家知名第三方支付公司,P卡对于内部系统种种重大的安全隐患视而不见,避而不谈,而把所有原因归结为客户的内部纠纷,更是非常草率的将客户的账户进行冻结。
出现问题之后,没有反思,没有道歉,没有提出以后类似风险的规避方案。而只是一味的推诿责任。甚至以法律手段进行威胁,这不是一个大公司正常的流程和肚量。
在客户隐私方面,如此草率如儿戏;在资金安全保障方面,如此简陋如初创;在客户服务方面,如此傲慢与短视,实属罕见。
一家企业唯有正视自己的问题,不断优化自己的产品,不断提高自己的服务,才能走得长远。