我的商务中心 | 修改资料 | 退出登录
通行证: 立即注册
首页 » 资讯 » 企业聚焦 » 劲爆!乐刷支付高层领导确认系统存在漏洞,这下“打脸”了
支付圈公众微信平台号:paycircle | 超级QQ群:210331756
123456
123456

劲爆!乐刷支付高层领导确认系统存在漏洞,这下“打脸”了


【发布日期】:2018-01-31

还记得去年12月份乐刷支付发文澄清公司系统不存在安全漏洞这事吗?当时乐刷支付被曝光系统漏洞问题,随后乐刷官方就紧急发文,称经核实公司系统并不存在任何泄露用户敏感信息的情况,请广大商户安心使用。

 

但事隔一个月,近日据相关知情人士透露:乐刷在被曝光系统漏洞问题后,2018年1月11日上午,乐刷方面主要高层人士包括姚总,总经理黄总以及技术人员与真正的系统开发商进行了正面沟通,在系统权利方的指导下当场演示了系统存在问题,乐刷领导也确认了系统存在漏洞的事实。

 

 

乐刷技术负责人当场进行系统测试,确认漏洞问题存在。

 

 

这下可是重重的“打脸”了。

 

 

据了解,乐刷在发展业务过程中一直使用存在漏洞的支付系统。通过较低级别的系统权限可以,获得注册用户敏感数据,比如:身份信息,银行卡信息,结算卡信息,以及与本权限不符的其他用户或者代理商的信息,也就是说你可以一个商户不用发展就可以看到其他代理商的商户信息,可能还可以进行相应的修改功能!

 

这个过程中不排除已经有人利用系统漏洞进行数据窃取,其中最核心的商户资料信息,商户结算卡信息一旦泄露,将给不法分子实施精准诈骗提供机会。

 

目前,乐刷代理商系统在仓促修改和补丁的过程中,据最新信息显示乐刷代理管理系统已经仓促更换,与此前曝光的漏洞地址已经悄然更换! 但是据系统权利方已暴露出更多的问题,系统开发商方面表示将公开其TMS系统导致密钥泄露的问题,希望广大代理商和商户重视并采取相应的措施,切实保护好个人信息资料,维护商户正常利益,确保交易数据不被非法劫持。

 

那么,监管机构对支付机构存在信息泄露问题怎么处理?

 

按照《非金融机构支付服务管理办法》在支付业务处理系统、技术标准符合性和安全性检测认证工作等方面提出了明确的要求,要求机构严格防范欺诈、洗钱、套现、“钓鱼”诈骗、信息泄露等带来的技术与安全风险。

 

2017年 7月27日,央行总行营管部科技部副处长刘立安在非银行支付机构技术交流会上介绍,出现这几种情况就会在续展中被“一票否决”,支付机构将面临“不予续展”的决定。这几种情况包括:

 

● 存在支付业务核心系统外包,或缺少必要的备份设备(包括但不限于核心网络设备、应用服务器、数据库服务器等);

 

● 支付业务系统存在较大风险漏洞,造成个人敏感信息泄露,造成较大损失或社会影响;

 

● 安全事件报告和处置不及时或未采取有效措施,造成较大经济或社会影响现场检查、系统检测、漏洞排查等发现问题未及时整改,或者国家有关部门通报的重大安全漏洞未及时修补,造成较大经济损失或社会影响;

 

● 根据《中国人民银行关于<支付业务许可证>续展工作的通知》(银(2015)358号)中规定,关于系统等多种情况都不能完成续展的情况包括:以欺骗等不正当手段申请《支付业务许可证》的;在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的;

 

由此可见,支付机构倘若出现了信息泄露,造成安全风险问题,央行必定是严惩不贷的。此前,某支付机构泄露上千万张银行卡信息被人行严格处罚。若情节恶劣,存在较大的漏洞风险,造成较大的经济损失或社会影响,重则“摘牌”也是不无可能。

 

支付无小事,信息泄露问题更不是小事。尤其是现在电信诈骗、网络诈骗发展如此猖獗的时刻,信息的保护尤为重要。用户及商户把自己的私密信息交给了支付机构,作为支付机构就必须切实做好信息保护工作,特别是敏感信息加密保护上做到万无一失,真正值得这份“信任”。

 

乐刷作为在全国范围开展银行卡收单和移动支付业务的支付机构,无论是业务规模还是业务量级都不小,如果发生大面积的信息泄露将带来不可估量的影响,建议积极与监管部门汇报情况,及时修复系统漏洞。避免出现更大风险事件,保障用户和商户的支付安全,真正做到让大家都放心使用才是。

 

部分图文来自:支付圈

 
 
[ 资讯搜索 ]  [ ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]
 
0条 [查看全部]  相关评论
123456
TOP10PayCircle热点新闻排行榜
  • 排行
  • 文章标题
查看完整榜单>>
查看完整榜单>>
收缩