据支付圈粉丝爆料，持牌第三方支付机构L刷代理商系统疑似存在重大安全漏洞，通过较低级别的系统权限操作即可获取商户的敏感信息，包括商户名称、法人姓名、联系电话、身份证号、结算银行卡信息等。

通过一个正常的代理商账号登录，可以获取与本权限不符的其他用户或者代理商的信息资料。也就是说，对于一个新的代理商而言，你可以不费吹灰之力获取到别的代理商拓展的商户信息，而且还是重要的敏感信息，甚至有可能可以对这些信息进行修改。

而获取的信息的方式就更加让人匪夷所思了，并不需要强大的黑客能力，而是在浏览器地址栏中输入相关的查询信息的链接，就可以随意查看商户信息。

另外，比较“人性化”的一点是还可以通过重置密码轻松登录其他服务商的后台系统。就好比拥有了一把通向别人家门的钥匙，细思极恐！

值得一提的是，不知道是为了便捷还是偷懒，代理商系统后台登录并不需要验证码，直接输入登录账号和密码即可。不知道当时设计的时候有没有想过会被暴力破解并且利用爬虫技术批量下载商户资料信息。不知道这个漏洞爆出后，会不会杀个产品经理“祭天”。

此前，市面上一直有代理商反应自己商户的信息被倒卖，现在看来跟类似的安全漏洞有着必然的联系。近年来，支付机构风险事件频发，有机构被爆出泄露用户信息，倒卖注册用户，电话骚扰以低价办理POS机，冒充官方进行设备更换和资金欺诈。这些低级别的系统安全漏洞无疑是为不法分子打开了获取用户信息的大门。一些不法分子利用所泄露数据刻画客户身份并实施精准诈骗，信息泄露成为资金犯罪的基本作案条件和支付风险源头。

根据中国支付清算协会发布的报告显示，2016年有近200家网上商城或支付平台被曝出存在安全漏洞导致数据库信息被窃取，其中多家网站泄露的用户信息达数百万条，最多甚至达到上千万条。

根据人民银行下发了中国人民银行关于《支付许可证》续展工作的通知，明确了支付许可证或不能延期的11种情形。同时强调指导支付机构客观审慎开展续展申请，敦促引导其开展兼并重组，调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。其中第（九）条规定在支付业务设施安全及风险监控方面存在重大缺陷，或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的；此前也有机构因为技术安全问题，支付业务范围被缩减。

关于本次被爆料的支付机构，支付圈从央行官网获悉，该机构为全国范围内的收单和移动支付牌照，牌照将于2019年7月份到期。根据支付牌照续展的规定，该机构需在2019年1月份开始提交续展相关材料。据支付圈了解，该机构在2017年11月14至12月7日短短一个月之内收到了三张央行的罚单。