二维码支付被停是“错杀”吗?
2014-06-17
2014年3月13日,央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》和《中国人民银行支付结算司关于暂停财付通线下条码(二维码)支付等业务意见的函》,“暂停”(不是叫停)支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务。传统金融业拍手叫好:早该管管了!互联网业痛心疾首:这是开历史倒车。有人直指这是这是银联的小动作,银联反击:施阴谋者最易以阴谋论指人。
先说说央行惩罚八家第三方支付公司的背景,这是源于一个“信用卡预授权漏洞”。信用卡有一个预授权功能,额度可以是溢缴款的115%。于是,有人蓄意往一张透支额度1万元的信用卡里存入100万元,然后找商家刷出115万元,套出15万元利益消失。当2014年1月大家发现这个漏洞的时候,涉案金额已经到了100亿元,相关机构损失可能达到15亿元左右!
有人说这是收单机构(第三方支付)的问题,有人说这是银联的规则的问题,有人说这是发卡行发了太多虚假的卡无法追查的原因。但不管最后板子打在谁的身上,这15亿已经蒸发了。一个小小的漏洞导致15亿的损失,发卡行没有详细审查用户资料的罪责难逃。这也解释了为什么央行要暂定“虚拟信用卡”的发行,因为这“违背和动摇了金融账户实名制的根基”。金融的风险不发生则罢,发生起来就风圈残云,天地为之变色。
再举一个例子。今年2月初,全球最大比特币交易平台Mt.Gox以技术故障为由,停止用户提现的服务。2月25日Mt.Gox正式申请法院破产保护,据媒体报道Mt.Gox因为受到黑客攻击,总共744408个比特币失窃,价值3.5亿美元,该平台因此资不抵债已申请破产。
这是怎么回事呢?据一位业内人士说,该比特币交易平台上的一个漏洞被黑客发现,让用户提现自己的比特币后,平台认为这笔提现没有成功。黑客利用这个漏洞,迅速反复提现,提空了平台上74万枚比特币,瞬间3.5亿美元蒸发。比特币不记名,无从追查,平台自己必须承担责任。因为无力向其他用户偿还3.5亿美元,全球最大的比特币交易平台Mt.Gox唯有宣告破产。这印证了金融业的那句老话:如果没有做好风险控制,做得越大,死得越快。
那么,二维码支付到底有没有安全风险呢?我看到一份资料,里面对二维码支付可能遇到的风险做了详尽的分析(你的竞争对手总是最了解你的),从手机客户端支付软件、用户银行卡账号/密码安全、后台转接清算系统的安全、二维码编码/解码/传输的安全、“微POS”们的安全等5个方面解析了二维码支付可能遇到的攻击。作为一个在微软工作了14年的IT人士,我认为这些分析不是没有道理。我们甚至可以从这些分析中,一点一点架构出一个攻击方案,确实比较可怕。
最后说说央行,在我看来,其实都是非常基本的要求,非常柔和,一点都不过分。比如,中国第一家P2P公司拍拍贷,成立8年来,一直坚持“只能提供信息服务,资金不能做杠杆,不能吸收存款”,那些违反这些原则做担保的,纷纷倒闭。这些监管,将非常有利于肃清互联网金融的本源,让投机者出局。
所以,作为“互联网金融”的极力的支持者,我其实理解这次央行“暂停”虚拟信用卡和二维码支付的出发点。这不是一次倒退,而是一次飞跃前的蓄势。