“高度危险：明文存储客户密码”

本篇文章3076字，读完约8分钟

法治周末记者马树娟

“做移动结算的公司竟然用明文留下了客户的账户密码！ 』在乌云洞的报告平台上看到白帽被提交的支付公司洞的消息，从事网络安全工作的人是这样觉得的。

3月19日，乌云表示，微付通支付平台的安全漏洞引起数据库泄露(客户密码用明文保存)，危害等级为“高”，脆弱性状态为“国家网络紧急中心解决”

出乎意料的是，去年3月，乌云平台公开了微付通的同样漏洞，微付通android客户端的敏感消息用明文保存，要求的url中包含了明文客户名称和密码。 加密、验证使用的数据可以用明文直接获得。

关于白帽子揭示的问题，对于没有专业的互联网安全知识的普通客户，可能无法完全理解其深刻的意思，但关于“明文存储密码”的表现，很多客户理解它。

他指出，在安全领域，如果明确保存客户的机密信息，系统在受到攻击时可能会泄露。 这是因为这个网络公司，特别是大量保存从事支付和电子商务交易的顾客新闻的公司，在保存顾客新闻时需要加密解决。

明文存储违反了技术标准。

微付通是北京微付天下科技有限企业运营的手机pos机产品，根据其网站，该产品可以为商户提供方便、高效、低价的移动支付服务。 客户下载微付通app，进行注册登记后，可以享受转账汇款、酒店、机票火车票预约等功能。

乌云平台公开微付通的安全漏洞后，很多客户担心这个平台的运营安全性。 乌云合作伙伴郝迪对法治周末记者从平台公开的情况出发说:“证明了他们至少做了一年以上。”

中国软件评价中心专家宋铮对法治周末记者说，以明文形式存储顾客密码是安全漏洞，广义上是系统设计的缺陷，系统设计安全意识不足，使用加密存储等措施

“这种漏洞会引起顾客的新闻泄露风险，对金融系统来说，还会威胁财产的安全。 ”。 宋铮表示，明文存储有非常大的安全隐患，因此在金融领域不允许，在《非金融机构支付业务设施技术要求》、《非金融机构支付业务设施检查规范》等领域的标准中也要求顾客密码的加密存储。

事实上，到目前为止，在网络领域，为了明确保存客户的密码，发生了很大的安全风险。 根据公开资料，去年12月，国内知名技术社区csdn (中国软件开发联盟)被攻击，600万顾客的登录名、密码、邮箱被泄露。 天涯社区、世纪佳缘等网站和很多EC平台受到影响，顾客数据泄露的事情层出不穷。

赛迪新闻物理系统评价实验室专家张德馨对法治周末记者说，自csdn事件以来，虽然还没有发生影响密码明文存储的安全性，但客户重要新闻的明文存储还在出现，其中年手机网络的明文存储

“这表明，为了方便公司开展业务，对客户新闻安全的重视程度不够。 ”。 张德馨说。

猎豹移动安全专家李铁军向法治周末的记者表示，考虑到明文存储顾客的敏感新闻安全风险非常大，csdn事件后，在网络领域几乎没有公司用明文保存顾客的密码

许多安全领域的人在接受记者采访时说，每个系统都很完美，多少都有缺陷，在公司知道漏洞后，必须立即修复，这是很重要的。

那么，世界企业是否关注这一脆弱性，并采取相应的修复措施呢？ 4月1日，法治周末记者与微付天下企业取得了联系。 企业网站上只发布了客服电话。 一个客服只是负责售后服务，不知道企业和媒体对接部门的电话。

记者随后向刊登在企业网站上的邮箱发送了采访信。 4月4日，记者再次拨打了这个呼叫，另一名工作人员说企业相关负责人暂时不在企业，代为采访。 但是，直到4月6日记者发表新闻时，微付天下企业还没有回答上述问题。

支付公司很容易受到黑客的欢迎

因为第三方的支付与资金的流动有关，所以是黑客们成为“喜欢”的着手目标，最近两年，第三方的支付被黑客攻击，顾客的新闻和账户资金被盗的事情经常被报道。

年3月，据媒体公开报道，上海某第三者被盗企业平台内数万名顾客新闻后，上海警察称黑客入侵该企业的后台系统，盗窃顾客账户新闻，总共6000名有资金的账户被盗，

艾瑞咨询研究员宋杨对法治周末记者表示，在“移动支付需要改善的问题”中，62.4%的顾客选择了“提高交易安全性”。

“支付安全可以说是支付公司的生命线。 特别是大型第三方支付公司，为了防止安全的事情发生，受到了严格的防止。 在支付宝( Alipay )等中，如果发生类似的事情就有赔偿的机制。 尽管如此，安全的事情发生会损害公司的声誉，影响顾客的忠诚心。 ”。 宋杨对法治周末记者说。

另一方面，为了保护顾客资金的支付安全，中央银行发表了“非金融机构的支付服务管理方法”，对第三方的支付领域采用了牌照管理方法。 也就是说，为了经营支付业务，必须取得中央银行的行政许可。

为了得到中央银行的行政许可，支付公司必须在注册资本、出资人、高管等方面满足要求，而且运行的系统也必须取得技术安全检查的认证证书。

中国支付清算领域协会业务调整部杜晓宇在接受法治周末记者采访时表示，在支付公司的技术安全监视认证中，年中央银行专门发布了《非金融机构支付服务业务系统检查认证管理规定》(以下简称“规定”)，支付机构的业务系统

根据《规定》，业务系统的检查包括但不限于功能、风险监视、性能、安全性检查和文件审计。 其中包括业务系统在网络安全性、数据安全性、运行维护安全性等方面的能力和管理措施，评价了其安全保护和管理水平。

另外，为了确保检查的科学客观性，《规定》要求支付机构不得连续两次委托同一检查机构检查业务系统。

“对于有牌照的支付机构来说，由于中央银行有严格的监管和现场检查，所以安全防护水平通常有保障。 ”。 上海潘洋律师事务所的合作伙伴刘春泉对法治周末记者说。

无支付许可机构不能独立开展业务。

艾瑞咨询的研究报告显示，年，第三方移动支付市场交易规模达到59924.7亿元，同比增长391.3%，连续两年保持超高增长。

强烈的成长可能性也刺激了越来越多的组织投身其中。 关于支付业务许可证的申请，中央银行也不限制数量，鼓励所有合格的第三方支付公司在支付服务市场平等竞争。 无论是国有资本还是民间资本，只要符合方法的规定，就可以取得支付业务许可证。

截至2005年4月，中央银行为第三方支付发放了270张牌照。 但是记者在采访中得知，尽管现在中央银行对支付机构的数量没有设置限制，但从事支付公司的企业中还有没有取得牌照的企业。

为了开展支付业务，选择与支付牌照的机构合作。 对这些机构，央行没有对平台系统提出进行专业安全性评价的要求，其安全防护水平不得而知。

关于运营微付通的北京微付天下科学技术有限企业，法治周末记者没有在企业官网上看到相关资格的说明，没有在获得中央银行许可的支付机构取得支付许可证。 记者作为顾客咨询了微付通的业务员，微付通告诉记者，取得中央银行支付牌照的同一家企业正在合作。

杜晓宇宣布，除非是支付许可证的企业，否则中央银行不容易要求平台达到中央银行要求的技术检查认证水平。

中国政法大学金融法教授刘少军向法治周末记者提供其他服务，协助机构可以向支付许可证的机构提供其他服务，但不能以自己的名义独立开展支付业务。 否则，相当于拥有许可证的机构向合作机构租赁许可证。 这是监管机构不允许的，也是违反行为。

“持有牌照的支付机构在监督管理机构的严格监督管理下，需要100%的存款兑换金，也保障了系统的安全性，但如果合作机构自己设立支付账户，系统的安全性、资金的安全性会因为监督管理不足而有很大风险。 ”。 刘少军说。

刘春泉对记者说，有许可证的支付机构为了扩大业务，只能和其他机构以代理的形式合作，为了切实满足监督管理的要求，有许可证的企业通常也要理解代理店的系统技术水平和防护状况，把顾客的敏感消息