揭支付宝实名认证漏洞作者再次发声，回应网友质疑

主页（http://www.pttcn.net）：揭支付宝实名认证漏洞作者再次发声，回应网友质疑

集中回答一下网友们的问题，并对支付宝实名认证事件的进展做个说明

1. 很多网友吐槽，看到标题的“惊天漏洞”，就认为是黑，内容不看了，直接开喷。

A：我说明一下为什么要叫惊天漏洞。首先，这个次的事件发生是我在很偶然的机会下，手贱点到了支付宝的实名认证链接下，才发现被绑定他人账户，共享我的实名认证信息和收付款额度。为什么称为惊天，就是因为它的隐蔽性，一般用户绝对不会轻易的点击到实名认证信息做检查，因为大部分用户已经通过了复杂的认证过程，成为了实名认证用户。即使发现了异常也会潜意识里认为这是个体事件，而只解决了自己实名信息的账户关联，并没有从根本上杜绝账户被绑定的问题。那么，就会造成更多的支付宝用户一样也一直不知情。至于有什么危害我后面会讲到。

2.很多网友担心的，它到底有什么危害，还有网友说自己屌丝里面没钱，或者说无所谓的，或者是直接开喷的

A：#认证流程#

这次事件中的问题焦点我想很多遇到和没遇到这个情况的网友很多还是不清楚，到底是怎么回事。我能将#支付宝实名认证的惊天漏洞#这篇文章发布出来也是在多次和支付宝的技术客服主管，支付宝专门负责投诉的部门主管反复确认过的支付宝实名认证绑定流程才发布出来的。

那么，这个实名认证绑定流程到底是什么呢？

1. 事件中的实名认证绑定流程，并非从已实名认证通过的本人账户进行子账户绑定。

2. 文中提到的流程是，新支付宝注册用户，在进行新的实名认证申请时，只要填写了你本人的身份证号码，姓名，并上传了伪造的证件照（正反面），如果这个提交的身份信息和你的已认证通过身份信息一致，那么这个新账户就会自动的默认绑定到你的支付宝实名认证信息下。

3. 当发现被绑定其他子账户后，作为最早实名认证的账户不能对子账户进行绑定取消，也不能关闭绑定功能。

所以，这个认证流程根本不需要本人的支付宝账户，密码和支付密码，而且在整个操作过程中，你的已通过实名认证的账户不会收到任何形式的通知或是确权信息，也就是说你会一直蒙在鼓里。

#现实危害#

首先，这次事件的实名认证信息绑定子账户对本人的账户内的资金是否有直接影响，从目前支付宝官方、本人检查和网友的反馈情况来看没有直接证据证明会造成资金损失。所以网友不必太过惊慌，你的支付宝账户的资金还是安全的。他人没有你的登陆和支付密码是不能操作你的账户资金的。

很多网友也一直很关心，如果我的实名信息被他人绑定了会有什么影响。下面，我来给大家解释一下实名认证被共享的危害。实名认证是社会个人征信的一种表现形式，也是社会个人征信管理的基础，它具有绝对唯一性，而且也是伴随你一生的一个信用证明。不会随着你身份和年龄改变而发生改变。

当你的实名认证信息被不法分子利用，例如支付宝实名认证的权限说明里的贷款、开淘宝店等，造成的后果就是贷款的不良信用可能是你来承担，贷款的余额可能是你来偿还，开淘宝店被洗钱或做违法事情的一切民事刑事责任都由你来承担。这就是社会个人征信存在的意义，个人行为约束、诚信信用度证明，提高违法犯罪成本的有效手段。

至于，支付宝官方所说的目前的贷款还不能如何如何，就此我想说的是，支付宝未来一定会向大众消费小额信贷领域发展，为了提高用户消费时的便捷性，一切都会以实名认证信息作为重要依据，那个时候再发现这个实名认证被别人绑定的问题，就谁也说不清了吧。

这次事件反映的问题，也是支付宝个人征信风控一个明显的流程漏洞，如果支付宝的风险控制团队只能将风控手段设计到应用到短期的产品范畴的话，我想马大帅是不是该考虑换换人了。

3.也有不少网友说是不是我不小心泄露了个人信息造成的这次事件。

A：其实，只要是步入了社会的人都晓得，目前中国社会的个人隐私基本上等于没有隐私。为什么这样说，只要你买房了，买车了，生病上医院了，结婚生孩子了，消费了，办了个会员了，到某网站注册了个实名用户了都会造成你的信息泄露，而且这些泄露的渠道几乎人尽皆知，都见怪不怪了。前年、去年某某网站被脱裤被盗取，千万用户个人信息被盗的新闻，大家可以自行搜索一下。

如果说，拿某网站被脱裤的个人信息到支付宝里认证一遍的话，请问，会有多少人躺枪？

4. 很多网友一直在私信，@，评论我，在问怎么查实名认证账户的绑定，如果有被绑定的情况，怎么处理？

A：#如何查实名认证#

1.手机浏览器使用桌面模式登陆支付宝查看，APP看不了。

2.电脑上，登陆支付宝后→进入“我的支付宝”→点击“账户管理”，在下拉菜单中选择“账户设置”→在“基本信息”中找到“实名账户”一项，选择“查看”即可。

旧版支付宝

新版支付宝

下一个页面就是支付宝实名认证信息的展示页面，里面会提示有多少绑定账户，和已经绑定账户的列表，仔细检查一下是否有你不认识的账户存在。

#处理被陌生人绑定的账户#

如果你发现有陌生账户的绑定，请立即拨打电话 95188 选择人工申诉，告知“实名认证被陌生人绑定，要求进行解绑”,客服会发给你申诉链接和上传材料的地址，配合客服操作就行，另外处理后再看看还能不能添加子账户绑定了，如果不能才算完事。

5. 说一下支付宝目前的进展，以及我的跟进情况

从昨天网上1点到4点的网友反馈来看，支付宝方面确实在积极的对所发生的问题进行修改，不少网友反映说电话根本打不进去，这也很正常，突发事件的集中化处理肯定会线路繁忙。从已经申诉的成功网友的反馈来看，支付宝已经通过上传证件验证身份后对绑定的非本人账户进行了清除，并关闭了添加实名认证账户绑定的功能。

也有部分网友反映说申诉后，没有上传证件，被绑定的账户自动消失了，而且绑定信息也由早先的5个，变为不显示了。这个问题是否属实，还是需要更多网友来反馈。

#事件跟进#

从昨天接到支付宝的客服电话到今天13：30分，我还没收到支付宝给我的任何反馈。（可能今天是周日吧）此外，我说明一下，我的账户实名认证信息还没有处理，所以网友们所说的处理后的情况我不是直接接触到的，只能作为参考，需要网友提供更多的信息。

最后，有网友留言给我说支付宝公关好厉害，微博热搜、热门都被屏蔽了，其实，我想说，我们所做的无非是让支付宝用户有知情权，并督促支付宝进行修正。换句话说，这么大的一个支付系统谁能保证不出问题，出问题不可怕，可怕的是平台对出问题的畏惧和责任推脱。每个支付宝用户都是由于信任才选择支付宝，不会因为它有问题有BUG而轻易的抛弃，所有的用户都想得到的是支付宝的一个态度和解决问题的行动。

再次感谢大家的关注和支持！

作者：F9y4ng