AlipayHK不認錯 撇清保安責任

香港版支付寶Alipay被爆嚴重保安漏洞，有信用卡持有人本身並非AlipayHK的用戶，被人盜走卡資料，將卡號加進電子錢包成功進行消費，直到卡主收到碌卡短訊才揭發事件。雖然卡主應該沒有損失，但問題在於AlipayHK為何如此簡單便容許用戶將信用卡加進非卡主的電子錢包內呢？

為著今次事件，筆者重新進行一次綁卡工作，打開AlipayHK後，在加入信用卡中輸入卡號，有效日期及卡背三碼後，等了一下便綁定成功，並說會從戶口扣0.1元作驗證卡之真偽。這樣一來，拾獲他人信用卡資料的確可成功綁卡。只能依賴卡主檢查手機短訊作驗證及防止信用卡被盜。筆者亦發現WeChatPay HK的綁卡過程同樣毋須經過二重驗證，加了卡資料後立即可進行消費。

從AlipayHK的聲明可見，公司很依賴卡主及信用卡發卡行的保安驗證過程，防止信用卡資料被盜用。而聲明也沒有說自家的系統有任何問題，簡單來說即是「問題在你自己張卡度，唔關我事！」仲要求卡主與銀行聯絡跟進聯絡方法準確無誤呢句更加是把責任完全推到並非AlipyHK用戶的受害卡主身上。人家是發現你的系統保安漏洞才公開，又不見其他他人批評 Apple Pay加卡有問題？因為人家在加卡時已要輸入二重保安密碼，而非一加即成功，若用家沒有註用手機號碼，根本不能完成加卡程序！

成份聲明，AlipayHK並無道歉，即係死不認錯，仲叫受害人報警。簡直係此地無銀！作為金管局持牌機構，金管局方面應立即作出調查，以還受害人卡主清白。金管局更應要求持牌機構強制實行二重保安安排，避免信用卡資料被不法份子盜用。

「今日於網上流傳並討論懷疑有人透過AlipayHK盜用及連結受害人的信用卡以進行交易之安全問題，AlipayHK一直都有嚴格的保安措施並遵從監管機構的指引保障用戶的使用安全。

經深入了解後，發現有人於其他場合竊取了個別市民的信用卡卡號、到期日及安全碼，並試圖透過AlipayHK進行未經授權之交易。 所有通過AlipayHK以信用卡扣款方式所進行的交易成功後，發卡銀行會發出短訊通知用戶；而當用戶於賬戶內連結信用卡時，AlipayHK亦會凍結$0.1以作授權憑證，信用卡公司則會發出短訊或電郵通知卡主。故此，不論是完成信用卡交易或連結信用卡，一旦發生盜用情況，用戶皆可即時獲悉。為確保用戶能夠成功收取相關短訊，建議與銀行確認聯絡方法準確無誤。

AlipayHK採用的是業內通行的信用卡交易操作流程。如發現可疑交易，用戶可即時與信用卡公司聯絡，或報警求助，AlipayHK亦會盡力配合警方的調查。 有關報道亦提到近日懷疑有多宗同類型事故發生，然而客戶服務部關於信用卡被盜引發的可疑交易查詢宗數並無異常。

AlipayHK一直遵從相關機構的監管及指引，並以用戶的使用安全為立足之本。我們感謝社會上的監察和意見，亦會不斷改善及提升服務質素，令市民可安心使用。」