1. 首頁 > 生活百科 > >

免密支付暗藏隱患,有人薅10元羊毛被盜刷1萬

ai芯片華為人工智能英偉達it芯片

免密支付暗藏隱患,有人薅10元羊毛被盜刷1萬

看似便捷的功能 , 卻可能造成資金安全隱患 。
近日 , “解除支付寶賬號授權”這一話題在微博熱搜上引發了廣泛討論 。 有網友發現 , 在支付寶的“個人信息授權管理”列表中 , 被一鍵授權獲取其個人信息的軟件數不勝數 , 不少均涉及姓名、手機號、證件等敏感信息 。 用戶陷入“授權泛濫”困境 , 存在不少安全隱患 。
“免密支付/自動扣款”則是另一大“雷區” , 很多人發現了不少“隱藏扣款” 。 近日 , 來自重慶的學生黨劉雨(化名)告訴時代財經 , 她于去年在某在線小說閱讀平臺開通了VIP會員 , 使用支付寶免密支付 , 最近檢查賬單才發現該VIP會員一直在自動續費 。
【免密支付暗藏隱患,有人薅10元羊毛被盜刷1萬】“訂的時候一時爽 , 取消的時候找不到 , 以為沒有續費了 , 其實每個月一直在默默扣你錢 。 這就像金錢小偷 , 因為不用動腦子 , 不知不覺錢就走了 。 ”劉雨如此表示 。
9月17日 , 支付寶在其官方微信平臺上發文回應稱 , 支付寶2021年就推出了“個人信息授權管理”功能 , 方便用戶統一管理;另外 , 除了可以一站管理自己的授權 , 用戶還可以在“用戶保護中心”修改自己的隱私設置 , 查看授權自動續費的服務等 。 支付寶支付設置上 , 也可通過自動續費/免密支付設置 , 解除“自動扣費”功能 。
圖源:支付寶

1 有人為薅10塊羊毛 , 免密支付被盜刷1萬當下 , 在淘寶、美團、滴滴等各類生活服務平臺上 , 免密支付已經成為一項較為普遍的功能 , 無需輸入密碼 , 小額交易瞬間完成 。
時代財經發現 , 除了“圖方便” , 也有部分用戶沖著優惠福利使用免密支付功能 。 “為了薅首月優惠 , 我經常開通各種平臺的免密支付 , 不過之后會記得把這個功能關閉 , 還是覺得不太安全 。 ”來自廣東的白領吳先生(化名)如此表示 。
盡管當下仍有不少用戶對免密支付功能保持謹慎態度 , 或僅僅只嘗試小額支付 , 但在使用第三方平臺進行消費時 , 在付款最終完成之前 , 是否開通免密支付早已成為消費者的“必答題” 。
例如 , 來自遼寧的王女士(化名)近日向時代財經稱 , 自己在使用某在線旅游服務平臺進行付款時 , 被強制關聯支付寶免密 。 “點擊付款后 , 系統就會自動跳轉到開通免密支付頁面 , 需同意協議并開通免密支付方能進入下一步操作 , 其中甚至沒有拒絕的選項 。 ”王女士說道 。
對此 , 北京市隆安(廣州)律師事務所陳鐘濤律師向時代財經指出 , 根據《個人信息保護法》的規定 , 處理個人信息、開通支付等重要功能 , 必須獲得用戶“明示同意”和“單獨同意” 。
這意味著用戶必須主動、清晰地做出“同意”的動作 , 而不是被平臺預先設定為“同意” 。
“同時 , 《電子商務法》也明令禁止將搭售服務作為默認同意的選項 。 因此 , 在支付環節中 , 通過默認勾選或隱匿‘不同意’選項來強制用戶開通免密支付的做法 , 并不符合法律規定 。 ”其表示 。
“免密支付是全球移動支付進階的普遍方向 。 ”9月18日 , 博通咨詢金融行業首席分析師王蓬博在接受時代財經采訪時表示 , “客觀來看 , 免密支付確實也存在一定風險敞口 , 因此 , 該功能在提升便捷性的同時 , 對平臺風控能力和用戶安全意識都提出了更高要求 。 ”
“一旦用戶手機丟失或賬號信息泄露 , 攻擊者可能利用已授權的免密通道進行連續盜刷;此外 , 部分用戶對自動續費規則理解不清或授權管理疏忽 , 也可能導致誤扣或遺忘扣款 , 引發爭議 。 ”王蓬博說 。
從實際案例來看 , 免密支付功能若被不法分子利用 , 可能帶來嚴重安全隱患 。
據中國消費者協會8月發布的《2025年上半年全國消協組織受理投訴情況分析》 , 當下 , 一些無良商家通過在網絡上發布“走路賺錢”“免費領紅包”等宣傳語吸引老年人點擊 , 隨后跳轉免密支付自動扣款收取“會員費” 。 今年4月 , 陜西某地方法院發布的一起案情介紹稱 , 一名原告手機丟失 , 他人盜用該手機 , 通過免密支付盜刷1.2萬元 。
也有網友在社交媒體上稱 , 其曾在二手交易平臺下單購買奶茶優惠券后 , 在短短兩分鐘內遭遇了10筆盜刷 。 “就為了省10塊奶茶錢 , 通過第三方鏈接跳轉支付寶 , 開通了免密支付 , 結果兩分鐘花唄被刷了10169元 。 ”
上述網友還稱 , 自己平時經常在上述平臺購買優惠券套餐、會員券 , 但是每次都比較警惕 。 “但就是這一次 , 沒有仔細考慮就造成了損失 , 還是要對免密支付和第三方鏈接一定要保持警惕心理 , 千萬不要大意 。 ”所幸的是 , 通過平臺介入 , 該網友最終成功追回了9990元 。
對此王蓬博認為 , 從過往的案例來看 , 盜刷事件更多的是個別用戶設備丟失、賬號泄露或過度授權后的風險外溢 , 而非免密功能本身的設計缺陷 。 “目前主流的支付平臺都承諾‘被盜全賠’ , 這方面用戶不用太擔心 。 ”其表示 。
時代財經也從微信支付相關界面查詢到 , 微信免密支付如果資金被盜 , 在客服中心有申訴入口 , 被盜資金可申請賠付 , 微信支付配有“百萬保障” , 當用戶的支付賬戶出現被盜情況 , 損失金額承諾賠付 。
9月18日 , 抖音相關人士也告訴時代財經:抖音支付聯合中國人保財險提供百萬賬戶安全險 , 若確認賬戶被盜刷 , 平臺會對賬戶資金損失進行賠付(最高賠付可達100萬/年) 。

2 過度“一鍵授權”存隱患除了免密支付 , 支付寶賬戶解除授權是眾多網友關注的另一焦點 。 有網友反映稱 , 其在支付寶的個人信息授權管理清單中 , 發現了超100項授權項目 , 最早的授權時間甚至可以追溯到10年之前 。
在專業人士看來 , 過度寬泛的“一鍵授權”會導致個人信息流向不透明 , 存在被濫用的隱患 。 “許多早已不用的App和小程序的僵尸授權長期存在 , 如同數據‘后門’ , 持續構成安全威脅;最后 , 與免密支付、自動扣款關聯的授權則直接威脅財產安全 , 極易造成消費者在不知情的情況下被直接扣款 。 ”陳鐘濤律師表示 。
北京云亭律師事務所王瓊律師也認為 , 若用戶打開支付寶的“個人信息授權管理” , 發現自己“被授權”給了某平臺、某理財APP , 但用戶根本不記得什么時候同意過 。 這違反了《個人信息保護法》的“單獨同意”要求 。 “平臺把你的信息給第三方前 , 必須明確告訴你“接收方是XX、要用你的XX信息、做什么用” , 而且得讓你“主動點同意” , 不能偷偷綁” 。
為了杜絕個人信息泄露、財產流失等隱患 , 相關機制仍有待完善 。
對此 , 王蓬博建議稱 , 平臺應在授權管理上堅持“最小必要、知情同意、可撤回”原則 , 進一步優化協議披露的透明度 , 采用分步引導、顯著提示、設置冷靜期等方式 , 杜絕“強制捆綁”或“默認勾選”等不當操作 。
“同時 , 在免密支付開通后 , 平臺需強化異常交易的實時提醒與攔截能力 , 提升用戶對授權的掌控感 。 比如 , 相關平臺可以上線‘個人信息授權管理’功能 , 用戶可便捷查看所有已授權的第三方應用及免密/自動扣款項目 , 并支持隨時解綁 。 ”其說道 。
另一方面 , 消費者也可主動采取措施防范相關風險 。 平臺與用戶協同治理 , 方能讓免密支付在安全與便捷之間實現最佳平衡 。
“對消費者而言 , 應主動定期檢視授權清單 , 及時清理不再使用的授權服務 , 優先在可信應用中開通免密功能 , 并結合指紋、面容等生物驗證增強賬戶安全 。 ”王蓬博表示 。
本文來自微信公眾號“時代財經APP” , 作者:張昕迎 , 編輯:周夢梅 , 36氪經授權發布 。

    推薦閱讀