支付宝疑存认证保安漏洞　用太空卡可绑定信用卡交易　小心被盗用

电子钱包流动支付日益普及，惟保安风险不容忽视。Fb专页“前线科技人员”编辑今早（21日）发文表示，日前（19日）接连收到银行短讯通知，有5笔信用卡与支付宝HK的交易记录，共涉及2,213元，疑被人盗用。其事后用太空电话及太空卡开设支付宝HK户口并绑定信用卡，结果发现过数后，已可立即透过二维码，在支援的商户消费，过程并无强制第二步认证。
有资讯保安专家表示，信用卡绑定手机号码，是最有效及时防止被他人盗用。他提醒，该支付工具在首次登记时，会冻结$0.1以作授权凭证，并会按用户登记的手机号码发出短讯确认，若发现有异样，便应即时联络银行。
支付宝HK表示，经深入了解后，发现有人窃取了个别市民的信用卡资料后，试图透过该平台进行未经授权的交易。如发现可疑交易，用户可即时与信用卡公司联络或报警求助，支付宝HK亦会尽力配合警方的调查。

专页编辑引述支付宝HK：近日收到不少类似投诉

“前线科技人员”编辑在fb专页表示，自己从无安装支付宝HK，其肯定过往消费，没有涉事短讯的金额，5笔分别由16元至1,000元不等，怀疑信用于资料被盗，及支付宝HK身份认证方面有安全漏洞，故已即时联络银行取消信用卡，并透过支付宝HK的客户服务热线要求跟进，期间获职员告知，近日收到不少类似投诉。

他另外利用太空电话及太空卡开启支付宝HK户口，并绑定信用卡过数，包括到期日及安全码，发现支付宝HK对新增信用卡的首次交易，并无要求信用卡第二重身分认证，而过数后虽不能提款或转账到银行，但已可透过二维码消费，如已经能够在快餐店购买食品，全程无经过短讯认证。

漏洞：绑定信用卡毋须短讯认证

他认为，双重认证安排是由发卡银行与支付宝的共同决定，两者都有责任，惟支付宝HK与其他电子钱包相比，并无强制要求信用卡公司做短讯认证，即信用卡资料一旦被盗，用户以外的人都可以透过该平台消费。他表示，公开事件是希望支付宝可以加强认证，以免将来更多人“中招”。

登记系统有1毫子刷帐测试

方保侨提醒，信用卡绑定手机号码，是最有效及时发现及防止被他人盗用。而该支付工具在首次登记时，为验证绑定信用卡的有效性，会刷一次涉款0.1元的帐单，并会按用户登记的手机号码发出短讯确认，成功验证后会退还，若发现自己未有收到该短讯，或者是相反无登记过该支付工具，却收到该短讯，便应即时联络银行。

支付宝HK︰建议与银行确认联络方法准确无误

支付宝HK回应事件表示，经深入了解后，发现有人于其他场合窃取了个别市民的信用卡卡号、到期日及安全码，并试图透过AlipayHK进行未经授权之交易，强调一直都有严格的保安措施，近期相关查询宗数并无异常。

支付宝HK表示，采用的是业内通行的信用卡交易操作流程，所有通过该平台的信用卡扣款交易成功后，发卡银行会发出短讯通知用户，而当用户于账户内连结信用卡时，AlipayHK亦会冻结$0.1以作授权凭证，信用卡公司则会发出短讯或电邮通知卡主。故不论是完成信用卡交易或连结信用卡，一旦发生盗用情况，用户皆可即时获悉。

如有可疑交易　会尽力配合警方调查

支付宝HK建议用户为确保能够成功收取相关短讯，与银行确认联络方法准确无误。如发现可疑交易，用户可即时与信用卡公司联络，或报警求助，支付宝HK亦会尽力配合警方的调查。