热搜
您的位置:首页 >> 网络

下一次授权支付宝前你也许需要再考虑下

2019年03月08日 栏目:网络

文/宁宇,作者公众号:尚儒客栈(CMCC-ningyu)前几天支付宝升级,芝麻信用增加了新的功能,用户可以提供更多信息,用以提升芝麻信用

文/宁宇,作者公众号:尚儒客栈(CMCC-ningyu)

前几天支付宝升级,芝麻信用增加了新的功能,用户可以提供更多信息,用以提升芝麻信用值,按照提示里的说法,就是 有助于芝麻信用为你更客观/全面的评估。

点开你的支付宝,查看 芝麻信用 ,再点开 信用管理 ,查看 个人信息 。在下面,有一栏 话费账单 :

再点进去,查看我的话费账单,就要用户的授权了。再点击进去就可以看到,支付宝是希望客户提供客服密码,授权给芝麻信用使用。

什么是客服密码,用客服密码可以用来干什么?

移动、电信、联通都要求客户设置客服密码,这是一组由六位数字的密码。通过客服密码可以进行业务查询和部分业务受理,尤其在电子化渠道越来越发达的今天,很多情况下客服密码就是运营商对客户进行认证的重要凭证。

把你的客服密码告诉支付宝,就等于把自己家的钥匙交了出去,你放心么?

有人,甚至是运营商人士认为我在大惊小怪,不就是把钥匙交给保姆么。对不起,我还是比较保守的,虽然也找保洁帮助我清理屋子,但是我可不敢把钥匙交给陌生人,允许他在我不知情的情况出入我家。

简单的,通过客服密码可以查询用户的每月账单、各种详细话单,以及上记录。如果支付宝发起一个话单查询请求,并提供了用户的客服密码,那么在运营商侧是根本无法判断出:这是用户自己发起的,还是第三方干的。

打个比方:因为你把钥匙给了保姆,结果保姆趁你不在家不知道的时候进了门,翻阅了你家里的东西,虽然什么都没有拿走,但你心里肯定不舒服啊。

也有人说,支付宝是要了用户授权的,所以这种行为并不违法。然而问题在于:

用户在点击授权之前,会打开那个 电信运营商数据查询服务协议 么?

用户在点击授权之前,会意识到这个把 电信运营商 挂在前面的服务协议,其实是由一家叫做 数立信息 的公司提供的么?

用户在点击授权之前,会把服务协议翻到,看到签约地是浙江杭州市,发生纠纷先协商,然后再到被告所在地人民法院裁判么?

用户在点击授权之前,会意识到把客服密码交出去的情况下,给自己带来的风险么?

你会把钥匙交给一个陌生人么?用户真的是在了解所有情况和风险之后,把服务密码交给支付宝的吗?更何况,你其实是把密码交给了数立信息。

在这个事情中,运营商是不是也要承担一定呢?

有人说运营商的客服密码是弱密码,6位数字太容易被破解了。这种情况确实需要综合考量,是否应强制要求客户进行密码升级。但是如果遇到这样诱导用户输入客服密码的情况,即使再复杂再难破解,不也白搭?就是说即使你用了C级锁,但是交出了钥匙,风险不是照样存在?!

下一次授权支付宝前你也许需要再考虑下

那么运营商能不能辨别这个行为到底是用户发起,还是得到了用户授权的单位发起呢?很难。 授权 就是让渡了你的权力,这种让渡是法律许可的,运营商有什么道理不让人家使用?

所以,只能提醒客户:

要么使用临时密码授权他临时查询的权力,就像给他开门,打扫完卫生之后就关上门。要么及时更换服务密码,就像是给了他钥匙之后,赶快换一把锁,让他以后进不了门。或者就像现在这样,运营商要求对方关闭这种诱导客户的行为,冒着被客户责骂的风险,保护客户的隐私。

原本征信服务是大数据的一个应用,而今互联公司又以提升信用等级为诱饵,获取更多的数据。你再看看这个截图:

除了话费账单之外,还有车辆信息、公积金等,有多少吃瓜群众会主动把自己的隐私提供出来呢?

在我写完这篇文章的时候,突然发现支付宝已将 话费账单 这一栏做了下线处理,但公积金这一栏还在。点开之后可以看到,芝麻信用与多少地市的公积金系统平台合作了,而合作单位以及授权服务协议的主体,仍然是那个 数立信息 。

在大数据时代,又有多少企业和政府机关会把 与互联公司合作 为荣,结果增加了信息泄露和安全风险。高科技时代,我们倡导合作共赢,而且通过协同发展,也确实让我们的社会更加丰富多彩。可是对于用户、对于行业、对于社会,安全问题始终应该成为关注的重点,为了便利放弃了对自身的信息保护,这样真的好么?