“转数快”开通一个月遇安全问题,金管局叫停一项功能


来源:移动支付网    作者:佘云峰    2018-10-29 9:22

9月17日,香港金融管理局(金管局)推出了一项名为“转数快”的快速支付系统,由香港银行同业结算有限公司负责运作,将各大银行账户以及电子钱包接通,实现跨银行及储值支付工具的即时资金转帐。

然而这项关于智慧金融的创新举措在推出一个多月的时间后,便出现了安全问题,目前金管局已经紧急叫停了转数快相关的业务。

安全问题出在哪?叫停的是哪项业务?

金管局昨日表示,于10月10日首次收到怀疑资料盗用的报告,至今约有10多个银行账号怀疑被盗,涉涉及的款项共计约18万港币。那么安全问题到底是否因为信息泄露?金管局叫停的具体又是哪一项业务呢?

金管局表示,就怀疑个人资料被盗用事件,已要求储值支付工具运营商及银行检查相关应用程序,以降低个人资料被盗用而引发的风险,储值支付工具运营商会暂停其电子钱包内的电子直接扣帐授权服务(eDDA)服务,直至完成相关自查。但“转数快”个人对个人(P2P)转账不受影响。

电子直接扣帐授权服务(eDDA)服务又是个啥?它和“转数快”有何关系?在弄清楚这些问题之前,我们先一起回顾了解一下“转数快”的功能和用处。

安全、全天候、双币种、跨行跨支付工具、手机号码或者电邮作为唯一识别码、电子化代扣授权等等,这些都是“转数快”的特点。但具体到功能而言,它主要提供以下4个服务。

其中,电子直接扣帐授权服务(eDDA)服务即是“转数快”提供的一项增值服务,主要是为了通过付款人的预设授权,在转数快启动的直接扣帐支付从付款人户口直接扣帐。其支持两类eDDA,分别由付款人(标准eDDA)及收款人设立(简化eDDA)。

这一种eDDA服务简而言之就是商户代扣,付款人通过与商户之间建立eDDA,方便付款人在商户进行支付时可以直接完成扣款。

这一种eDDA服务简而言之就是通过授权银行账户向SVF账户(香港持牌储值支付工具的账户,即支付宝、微信、八达通等的电子钱包账户)自动增值。

而问题的关键可能正是出在这里,由于嫌疑人盗取了受害人的个人信息以及银行账户等资料,通过这些信息开设SVF账户,然后由转数快的eDDA服务绑定受害人的银行账户进行自动增值,等钱都到了SVF账户之后嫌疑人再将资金转走从而实现盗刷。

尽管大致流程可能是这样,但是小编不理解的是在大陆类似的电子钱包授权服务都需要输入短信验证码或者银行卡密码等操作,香港的eDDA服务开通是否没有这样的操作?另外规定中提到的保证书具体又是什么形式?是如何通过银行审查的?

P2P等转账不受影响,各方针对此事发表回应

综上所述目前,“转数快”被叫停的仅是电子钱包内的电子直接扣帐授权服务(eDDA)服务,而P2P等转账业务都不受影响。当然关于个人资料被盗用并开通电子钱包账户以及eDDA服务盗刷只是怀疑。而各方在此事发生之后都对相关问题发表了回应:

金管局发言人称,目前案件已经转交警方调查,一般而言,如果账户持有人确实没有授权有关扣帐,并不需为未经授权的交易承担责任。另外,虽然目前电子钱包里电子直接扣帐授权服务(eDDA)服务暂停了,但是消费者仍然可以使用即时转账等其它方式为电子钱包增值。

汇丰银行则表示,根据业界现在的运作模式,储值支付工具运营商需对电子增值服务指示的准确性和真实性负有全部责任,其中包括银行户口及获得户口持有人同意从其户口扣除资金。银行则会根据由储值支付工具运营商发出的指示及信息来设置电子增值服务。比如,汇丰银行会向户口的持有人发出确认书,通知客户已成功设置电子增值服务。另外,每次增值交易后该行会向户口的持有人发送手机提示信息。

AlipayHK发言指出,用戶开通转数快服务时,需提供身份证明文件予以核实,以保障用户真实性。目前AlipayHK现时遵照金管局指引,在完成eDDA检视前,已暂停有关服务。有关事件並不存在任何AlipayHK系统漏洞。

八达通O!ePay发言人表示,因应金融管理局要求,已暂停O!ePay的电子直接扣帐授权服务(eDDA)服务,并检视相关程序以降低个人资料被盗用而引致的风险。

Tap&Go拍住赏发言人则表示,已知悉事件可能涉及有市民个人资料被盗用作开设储值支付工具户口并设立eDDA进行增值。事件可能已转交警方调查。目前已应香港金融管理局要求,检视相关程序以降低个人资料被盗用而引致的风险,在完成相关检视之前,已暂停Tap&Go「拍住赏」电子钱包内的eDDA服务。

截至今日,金管局透露,eDDA的检视工作已经接近完成,并要求日后开设eDDA服务时,银行确认申请人身份时需进行双重认证。电子钱包通过eDDA的自动增值功能有望在下个星期陆续恢复。

写在最后

针对事件,由于钱是从储值支付工具运营商的钱包里被转走的,银行方面则认为储值支付工具运营商需对其服务指示的准确性和真实性负责;而另一方面,钱又是从银行账户先增值到储值支付工具钱包里的,运营商开通相关服务前都需要进行身份核验,当然也不愿意承认是自身应用的问题。

于是参与方也是各抒己见,而在小编看来如果不是系统漏洞方面的原因,那eDDA服务的开通和认证方面一定存在着不足才导致事件的发生,各参与方都需要从自身身上找问题,共同完善服务体系。至于事件后续进展,移动支付网将持续关注。

北京移动金融产业联盟、移动支付网将于11月15日在深圳大中华希尔顿酒店举办2018第三届中国移动金融安全大会,共同探讨移动金融交易与数据安全。

2018第三届中国移动金融安全大会详情见:http://www.mpaypass.com.cn/MFSC2018/

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2018 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号